. . > . . . . . c .pcr][FRO 0/00190 



{reC'D 2 6 APR 2000 

/ l^r^ NATIONAL DE \ 

r^C? / \ LAPROPRIETE / , ""^ " 

Sr^^^ ^ INDUSTRIELLE jv RCT 

BREVET D'INVENTION 




CERTIFICAT D'UTILITE - CERTIFICAT D'ADDITION 



COPIE OFFICIELLE 



Le Directeur general de I'lnstitut national de la propriete 
industrielle certifie que le document ci-annexe est la copie 
certifiee conforme d'une demande de titre de propriete 
industrielle deposee a I'lnstitut 



Fait a Paris, le 



1 8AVR. 2000 



_ PRIORITY 
^>OCUMENT 



Pour le Directeur general de I'lnstitut 
national de la propriete industrielle 
Le Chef du D6partement des brevets 




Martina PLANCHE 



I N S T I TUT 
NATIONAL DE 
LA PROPRIETE 
INDUSTRIELLE 



SIEGE 

26 bis, nie de Saint Petersbourg 
75800 PARIS Cedex 08 
T^l^phone : 01 53 04 53 04 
T6licopte : 01 42 93 59 30 



ETABLISSEMENT PUBLIC NATIONAL CREE PAR LA LOI N° 31.444 DU 19 AVRIL 1951 



THIS PAGE BLANK (uspto) 



1 



^INSTirUT 
MAflOHAl Of 

LA r(ior«i«TB 

IMDUIfBICLLt 



26 bis. rue de Saint Petersbourg 
75800 Paris Cedex 08 

Telephone : 01 53 04 53 04 T6lecopie : 01 42 93 59 30 

Reserve a riNPl — - 



BREVET D'INVENTION, CERTIFICAT D'UTILITE fs^g^ 

Code de la propriete inteltectuelle-Uvre VI 55 -1328 

REQUtTE EN DeUVRANCE 

Confirmation rfunddpflt par tt!6cople Q 

Cel imprwnA est i remptir a Tencre noire en lettres capitales 



DATE DE REMISE DES PIECES 2 7 JAN. 1999 
N^* D-ENREGISTREMENT NATIONAL gg QIOBS" 
OEPARTEMENT DE DEPOT 

2 7 JAM ^99 !• N. p. I. 

BENNES 



DATE DE D^POT 



2 DEMANDE Nature du titre de propfi6tt Industrielle 

brevet d'invention □ ^^mandc divisionnaire 



1 NOM ET ADRESSE DU DEMANDEUR OU DU MANDATAIRE 

A QUI LA CORRESPONDANCE DOfT tTRE ADRESS^E , 

• Patrice VIDON 
Cabinet Patrice VIDON 
Immeuble Germanium 
80 avenue des Duties de Coesmes 
35700 RENNES 

n°du pouvoir permanent references du correspondant telephone 

5343 02.99.38,23.00 



date 



demande tnitlale 

i icertificatd'utilite transformation d^une demande 1^ \^ _ 

de brevet europeen [— j ^^^^^ rfirrvcntion Lj certificat d'utlite n 

ttabllsscmentdu rapport de recherche ^differs □ immediat 

Lederriandeurpersonne physique, requlertlepaiement^helonnede la red^^^ □ oui □ non 

Titre de rinvcntkm (200 caracteres maximum) 

m Precede, systeme, dispositif pour diminuer la charge de travail pendant une session 

destinee a prouver I'authenticite d'une entity et/ou I'origine et I'integritg d'un 

message. 



3 DEMANDEUR (S) siren 
Nom et prenoms (souligner le nom patronsjr^que) oud6nominatio 

1. FRANCE TELECOM 

2. TELEDBFFUSION DE France 

3. MATHRIZK 



Fran9aise 



codeAPE-NAF 



Nationality (s) 
Adresse (s) compldle (s) , , . 

1. 6 place d'AUeray 
75015 PARIS 



Forme juridique 

Societe Anonyme 

Societe Anonyme 

SPRL (Society de droit 
beige) 



3. Verte Voie, 20 - Boite 5 \FRANCE ^4e}rt 

B-1348 LOUVAIN-LA-NEUVE ] 0.gi^]Qa£ 3 
BELGIQUE ( pc^ "-i 



2. 10, rue d*Oradour-sur-Glane 
75732 PARIS Cedex 15 



s rfinsutfisance de place, poortuhrre sur papier libre | | 



: ~ — I--, ^««,3r,A».ire r~l oui non Si la reponse est non. foumir une designation separee 

4 iNVErfTEUR (S) Les inventeurs sent les demandeurs lJ — ■ 

5 R^UCKONDU TAUXDESREDEVANCES U po. .^.e ..s U ^ .^.n. „. 3u ..p.. : .In.^ .e . ...on .a.n,.s.n 

6 DteUVRATON DE PMORITt OU REQUClE DU BfeNtnCE DE U DATE DE OtPQX ^Vri^OE^AHTtl^BS^ «rtu., de b demamte 



pays d'origine 



7 DMSIONS anterieures d la pr6sente demande n 



8 Signature du demandeur ou ou mandataire 

(nom et qualite du signataire) 

P. VIDON 
V (CPI 92-1250) 




SIGNATURE DU PREPOSE A U ReCEPTlON SIGNATURE APRES ENREGISTREMENT OE W DEMANDE A L INPI 





■ iRtrmrr 

NATIONAL DE 
LA PROTKICTK 



BREVET D'lNVEhfTION, CERnFICAT D'UTILITE 



DtelGNATION DE L'INVENTEUR 

(si le demandeur n*est pas I'inventeur ou Tunique in\fenteur) 







O'ENREGISTREMENT NATIONAL 


DEPARTEMENT DES BREVETS 




26bis, rue de Saint-Petersbourg 




75800 Paris Cedex 08 




T6I. : 01 53 04 53 04 - Telecopie : 01 42 93 59 30 





TITREDEL'INVENTION: 

Proc€d^, systfeme, dispositif pour diminuer la charge de travaU pendant une session 
destine ^ prouver I'authenticite d'une entite et/ou rorigine et rintegrit^ d'un message. 



LE(S)S0USSIGN£{S) 



PaMce VIDON 

Cabinet Patrice VTOON 

Immeuble (Germanium 

80 avenue des Buttes de Coesmes 



DeSIGNE(NT) EN TANT QU1NVEI 



Squer nom, prenoms, adresse et souligner le nom patfotiymique) ; 



M. Louis GUILLOU 
16 rue de rise 
35230 BOURGBARKE 
FRANCE 

M. Jean-Jacques QUISQUATER 
3 avenue des canards 
B-1640 Rhode Saint Genese 
BELGIQUE 



NOTA : A titre exceptionnel, le nom de I'inventeur peut Stre suivl de celui de la soci6t6 a laquelle il appartient (soci6t6 d'appartenance) 
lorsque celled! est differente de la soci«6 dfiposante ou titulaire. 



Date et signature (s) du (des) demandeur (s) ou du mandataire 



Ie27janvierl999 
/> c:> P. VroON (CPI 92-1250) 



1 



Procede, systeme, dispositif pour diminuer la charge de travaU pendant 
une session destinee a prouver I'authenticit^ d'une entite et/ou I'origine 
et rintegrite d'un message. 

La pr6sente invention concerae les precedes, les systdmes ainsi que les 
dispositifs destines h prouver I'authenticite d'une entit6 et/ou rorigine et 
rintegrite d'un message. 

Le brevet EP 0 31 1 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel proc6d6. On y fera ci-apres reference en le 
designant par les tennes : « brevet GQ » ou « proced6 GQ ». 
Selon le proced6 GQ, une entite appel6e « autorit6 de confiance » attribue 
une identity a chaque entite appelee « teraoin » et en calcule la signature 
RSA; durant un processus de personnalisation, I'autorite de confiance 
donne identity et signature au temoin. Par la suite, le temoin proclame : 
« Void mon identite ; j'en connais la signature RSA. » Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Gr,ce a la cle 
publique de verification RSA distribuee par I'autorite de confiance, une 
entit6 appelee « controleur » verifie sans en prendre connaissance que la 
signature RSA correspond a I'identit^ proclamee. Les mecanismes utilisant 
le proc6d6 GQ se deroulent «sans transfert de connaissance ». Selon le 
proc6de GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
I'autorite de confiance signe un grand nombre d'identit6s. La securite du 
procedd GQ est au mieux equivalente a la connaissance de la signature RSA 
de I'identite. II y a equivalence lorsque I'exposant public de verification 
RSA est un nombre premier. 

Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits. 
Ces calculs concement des nombres ayant sensiblement la mSme taille 
eleves a des puissances de I'ordre de 2'* + 1. Or les infrastructures 
microelectroniques existantes, notamment dans le domaine des cartes 
bancaires, font usage de microprocesseurs auto-programmables 



monolithiques d^pourvus de coprocesseurs arithmetiques. La charge de 
travail liee aux multiples op6rations arithmetiques impliqu6es par des 
precedes tels que le proced6 GQ, entraine des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des cartes 
bancaires pour acquitter leurs achats. II est rappele ici, qu'en cherchant a 
accroitre la securite des cartes de paiement, les autorites bancaires posent un 
probleme particulierement delicat a resoudre. En effet, il faut traiter deux 
questions apparenunent contradictoires : augmenter la securite en utilisant 
des cles de plus en plus longues et distinctes pour chaque carte tout en 
evitant que la charge de travail n'entraine des temps de calcul prohibitifs 
pour les utilisateurs. Ce probleme prend un relief particulier dans la mesure 
ou, en outre, il convient de tenir compte de T infrastructure en place et des 
composants microprocesseurs existants. 

L*invention a pom: objet d'apporter une solution a ce probleme tout en 
renforgant la securite. Plus particulierement, T invention conceme un 
precede pour diminuer la charge de travail pendant une session destinee a 
prouver a un controleur, 

- Tauthenticite d'une entite et/ou 

- Torigine et Tintegrite d'un message m. 

Procede 

Le procede selon Tinvention, met en oeuvre les trois entites ci-apres 
definies. 

I. Une premiere entite, appelee temoin, dispose des facteurs premiers p„ p^, 
— (P|5 — ) (i etant superieur ou egal a 2) d'un module public n tel que n = 
PrPz* Pa Le temoin dispose aussi 

* des composantes QA,, QA„ ... (QA,, ...), et QB,, QB„ ... (QB,, ...), 
repr6sentant des cles privees QA, QB, .„ 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA^, GA^, ... (GA,, ...) et GB„ GB^, ... (GB„ ...) 



* des exposants publics de verification vx, vy, ... 
Les cl6s priv6es et les cles publiques sont li6es par des relations du type : 

GA.QA" mod n = 1 ou GA = QA"mod n 
Les exposants publics de verification vx, vy, ... sont utiUs6s par le temoin 
pour calculer des engagements R en effectuant des operations du type : 

R, = r " mod p, 
ou r, est un alea tel que 0 < r, < p,. 

Ainsi, selon le nouveau procede, les roles de temoin et d'autorite de 
confiance ftisionnent. Chaque temoin utilise la factorisation p„ Pi* (P,> •••) 
de son propre module public n. De sorte que le nombre d'operations 
aritimietiques modulo p, a effectuer pour calculer chacun des R, pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectiiees modulo n. L' usage de la factorisation du module n reduit 
significativement la charge de travail du temoin. Par rapport au procede 
GQ, et a fortiori par rapport a d'autires precedes tel que le procede RSA de 
signamre, le procede selon 1' invention permet de substantielles economies 
de calcul, en particulier pour I'authentification. 

II. Le precede selon 1' invention met en oeuvre une deuxi^me entite pilote 
dudit temoin. Cette entite pilote est appeiee 

* demonsti-ateur dans le cas de la preuve de 1' authenticite d'une entite 
ou de r authenticite d'un message, 

* signataire dans les cas de la preuve de I'origine et de I'integrite d'un 

message. 

On verra ci-apres quel est son r61e. 

m. La troisieme entite, appeiee conti-oleur, verifie I'aiitiientification ou 
I'origine et Tintegrite d'un message. 

Selon I'invention, le temoin regoit de la deuxieme entite pilote ou du 
contrdleur un ou plusieurs defis d tel que 0 < d < vx - 1 et calcule h partir de 
ce defi une ou plusieurs reponses D en effecmant des operations du type : 



Dj = r, . QA. mod p. 
ou r, est un alea tel que 0 < r, < 

On constatera ici, de meme que precedemment, que le nombre d' operations 
arithin6tiques modulo p. a effectuer pour calculer chacune des reponses Dj 
pour chacun des p. est reduit par rapport a ce qu'il serait si les operations 
etaient effectuees modulo n. 

Le controleur regoit, selon le cas, une ou plusieurs reponses D. II calcule, k 
partir desdites reponses D, les^engagements R' en effectuant des operations 
du type : 

R^^ GA \ D" mod n 

ou du type : 

RVGA'=D"modn 
Le controleur pent alors verifier que les triplets {R', d, D} sont coherents. 
Dans le cas general qui vient d'etre expose, il y a plusieurs exposants de 
verifications vx, vy, On va maintenant exposer T invention dans le cas ou 
Texposant de verification v est unique, 

Cas ou Texposant de verification v est unique 
De meme que precedemment, le procede selon I'invention met en oeuvre 
trois entites : 

I. Une premiere entite, appelee temoin, dispose des facteurs premiers p^, Pj, 
(Pi , •••) (i 6tant superieur ou egal a 2) d'un module public n tel que n = 

Le t6moin dispose aussi 

* des composantes QA^, QA^, ... (QA. , ...), et QB^ QB^, ... iQB^ , ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ayant respectivement pour 
composantes GA^, GA^, ... (GAj, ..•) et GBj, GB^, ... (GB., ...) 

* de Texposant public de verification v 
Dans ce cas comme dans le precedent, il est prevu plusieurs paires de cles 



r6f6rencees A, B, ... 

Les paires de cl6s priv6es et publiques sont liees par des relations du type : 

GA.QA' mod n = 1 ou GA s QA'mod n 
L'exposant pubUc unique de verification v est utilise par le temoin pour 
calculer des engagements R. A cet effet : 

• il effectue des operations du type : 

R, s r J mod p, 

oil r, est un entier, tire au hasard, associe au nombre premier p,, tel que 0 < 
r, < p, , appartenant h. au moins una collection d'aleas {Tj, r^, r,, ...}, 

• puis il applique la m6thode dite des restes chinois, (on decrira ci-apres la 
methode des restes chinois qui est connue en soi). 

II y a autant d' engagements R que de collections d'aleas {Fj, r^, r^, ...}, 
Bien entendu, dans ce cas comme dans le cas general prec6dent, le nombre 
d'operations arithm^tiques modulo p, a effectuer pour calculer chacun des 
R, pour chacun des p^ est r6duit par rapport a ce qu'il serait si les operations 
etaient effectuees modulo n. 

II. La deuxieme entit6 pilote dudit temoin est appelee : 

* demonstrateur dans le cas de la preuve de I'authenticite d'une entite 
ou de I'authenticite d'un message, 

* signataire dans les cas de la preuve de I'origine et de I'int6grit6 d'un 

message, 

in. La troisieme entite, appelee controleur, v6rifie I'authentification ou 
I'origine et I'int^grite d'un message. 

Plus particuli^rement, dans le cas de cette variante de r6alisation le temoin 
re?oit de la deuxieme entite ou du controleur, des collections de defis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de defis d 
est egal au nombre d'engagements R. Chaque collection {dA, dB, ...} 
comprend un nombre de defis egal au nombre de paires de cles. 
Le temoin calcule a partir de chacune desdites collections de defis {dA, dB, 



...} des reponses D. A cet effet : 

• il effectue des operations du type : 

= r,, QA, . QB^ - ... mod p, 

• puis il applique la methode des restes chinois. 

II y a autant de reponses D que d' engagements R et de defis d. 
II convient de souligner, ici aussi, que le nombre d' operations arithmetiques 
modulo a effectuer pour calculer chacun des Dj pour chacun des Pj est 
reduit par rapport a ce qu*il serait si les operations etaient effectuees 
modulo n. 

Le controleur regoit une reponse D. II calcule a partir de cette reponse un 
engagement en effectuant des operations du type : 

R'= GA GB ...D' mod n 

ou du type : 

R' . GA ^\ GB . ... = D' mod n 

Le controleur verifie que les triplets {R% d, D} sont coherents. 
Ainsi, gr,ce a la presente invention, le temoin qui proclame : « Void une cle 
publique de verification (v, n) et une cle publique GA ; je connais la 
factorisation de n et la cle privee QA » prouve sans la reveler qu'il connait 
la cle privee QA. Le controleur verifie la cle privee QA sans en prendre 
coimaissance. Les mecanismes se deroulent « sans transfert de 
connaissance ». On le verra ci-apres, que le procede scion Tinvention 
autorise certaines paires de cles telles que la connaissance de la cle privee 
QA est equivalente a la connaissance de la factorisation du module n. 
On va maintenant exposer les variantes de realisation de T invention 
concemant : 

- le cas d'une authentification d'entite, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'une authentification d'entite 



Cas ou I'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuliSre, la session est 
destin6e 2l prouver a un contrSleur I'authenticite d'une entit6. 
Comme dans le cas g6n6ral, la session met en oeuvre trois entites. 

I. Une premiere entite, appel6e temoin, dispose des facteurs premiers p„ Pj, 
... (p,, ...) (i etant superiein- ou 6gal k 2) d'un module pubUc n tel que n = 

Pi-Pr Pa* ' 

Le temoin dispose aussi : 

* des composantes QA,, QA,, ... (QA,, ...), et QBj, QB^, ... (QB,, ...), 
.... repr^sentant des cl6s priv6es QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GA^, ... (GA„ ...) et GB,, GB^, ... (GB,, ...) 

* de I'exposant pliblic de verification v 

Les paires de cles privees et publiques sont li6es par des relations du type : 
GA-QA" mod n = 1 ou GA = QA'mod n 

II. La deuxieme entite, pilote dudit temoin, est appel6e d6monstrateur. 

III. La troisi^me entite, appelee controleur, v^rifie I'authentification. 

Pour prouver I'authenticite d'une entite, le t6moin, le d6monstrateur et le 
controleur ex6cutent les etapes suivzmtes : 

* etape 1. engagement R du temoin : 

A chaque appel, le t6moin tire au hasard et en prive au moins une collection 
de nombres entiers {r„ r„ r,, ...},telle que, pour chaque facteur premier p„ 
chaque collection comporte un alea r,positif et plus petit que p, , 
Pour chaque facteur premier p,, le temoin 61eve chaque alea r, a la puissance 
V ieme modulo p. 

Rjsr.'modp, 

On notera que le nombre d'operations aritimi6tiques modulo p, k effectuer 
pour calculer chacun des pour chacun des est r^duit par rapport k ce 
qu'il serait si les operations etaient effecmees modulo n. 
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Puis, le temoin etablit chaque engagement R modulo n selon la methode des 
testes chinois. 

II y a autant d' engagements R que de collections d'aleas {Tj, r^, Fj, ...}, 

• etape 2. defi d destine au temoin : 

Le demonstrateur transmet tout ou partie de chaque engagement R au 
controleur. 

Le contrdleur, apres avoir rcgu tout ou partie de chaque engagement R, 
produit au moins une collection de defis d {dA, dB, ,..} tels que 0 < dA < v 
- 1. Le nombre des collections de defis d est egal au nombre d' engagements 
R. Chaque collection {dA, dB, .•.} comprend un nombre de defis egal au 
nombre de paires de cles. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule des reponses D a partir des collections de defis d {dA, 
dB, ..•} regues du controleur. A cet effet : 
il effectue des operations du type : 

D, = r, . QA. . QB( . ... mod p, 
puis, il applique la methode des restes chinois. 

Le nombre d' operations arithmetiques modulo p^ a effectuer pour calculer 
chacun des Dj pour chacun des p, est reduit par rapport a ce qu'il serai t si 
les operations etaient effectuees modulo n, 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

• etape 4. donnees destinees au controleur : 

Le demonstrateur transmet au contrdleur chaque reponse D. 

• etape 5. verification par le controleur : ^ 

Le controleur calcule a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R' - GA GB ...D' mod n 

ou du type : 
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R' . GA GB .-.s mod n 

Le cohtrdleur v6rifie que chaque engagement reconstniit R' reproduit tout 
ou partie de chaque engagement R transmis h I'etape 2 par le 
demonstrateur. 

Cas d'une authentification de message 
cas ou Pexposant de verification v est wiique. 

Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver k un contrSreur T authenticity d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entites. 

I. Une premiere entite, appel6e temoin, dispose des facteurs premiers p^, p,, 
... (p., ...) (i etant superieur ou egal a 2) d'un module public n tel que n = 

Le temoin dispose aussi : 

* des composantes QA^, QA^, ... (QA. , ...), et QB,, QB^, ... (QB. , ...), 
representant des cles privees QA, QB, ... 

* des cles pubhques GA, GB, ... ay ant respectivement pour 
composantes GA„ GA^, ... (GA, ...) et GB,, GB^, ... (GB., ...) 

* de I'exposant public de verification v 
Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA' mod n s 1 ou G A = QA' mod n 

II. Une deuxieme entite, pilote du temoin, est appelee demonstrateur. 

in. Une troisieme entite, appelee controleur, verifie l'au±enticite d'un 
message. 

Pour prouver I'authenticite d'un message le temoin, le demonstrateur et le 
controleur executent les etapes suivantes : 

1 etape 1. engagement R du temoin : 
A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers {r„ r^, ...}, telle que pour chaque facteur premier p., 
chaque collection comporte un alea rpositif et plus petit que p, , 
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Pour chaque facteur premier p. , le temoin eleve chaque alea r, a la puissance 
V ieme modulo p. 

= r; mod p, 

(de sorte que le nombre d' operations arithmetiques modulo a effectuer 
pour calculer chacun des pour chacun des Pj est reduit par rapport a ce 
qu'il serait si les operations etaient ejfectuees modulo n) 
Puis, le temoin etablit chaque engagement R modulo n selon la m6thode des 
restes chinois. 

II y a autant d'engagements R que de collections d'aleas {r^, r^, Tj, 

• etape 2. defi d destine au temoin : 

Le demons trateur applique une fonction de hachage f ay ant conune 
arguments, le message m et chaque engagement R pour obtenir un jeton T. 
Le demonstrateur transmet le jeton T au controleur, 

Le controleur, apres avoir re§u le jeton T, produit au moins une collection 
de defis d {dA, dB, •..} tels que 0 < dA < v - 1. Le nombre des collections 
de defis d est egal au nombre d'engagements R. Chaque collection {dA, 
dB, •..} comprend un nombre de defis egal au nombre de paires de cles. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule les reponses D a partir des collections de defis d {dA, 
dB, —} regues du controleur. A cet effet, 
il effectue des operations du type : 

D, = r . QA/'' . QB, ... mod p. 
puis, il applique la methode des restes chinois. 

Le nombre d* operations arithmetiques modulo Pj a effectuer pour calculer 
chacun des pour chacun des Pj est reduit par rapport a ce qu'il serait si 
les operations etaient effectuees modulo n. 

II y a autant de reponses D calculees par le temoin que d*engagements R et 
de defis d. 

• etape 4. donnees destinees au controleur : 
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Le demonstrateur transmet au contrSleur chaque r6ponse D. 

• etape 5. verification par le contrdleur : 
Le controleur calcule a partir de chaque r6ponse D un engagement R* en 
effectuant des operations du type : 

GA GB ...D'^ mod n 

ou du type : 

R'. GA ".GB = mod n 

Le controleur applique la fonction de hachage f ayant conune arguments le 
message m et chaque engagement reconstruit R' pour reconstruire le jeton 
T'. 

Le contrdleur verifie que le jeton T' est identique au jeton T transmis a 
r^tape 2 par le demonstrateur. 

Cas d'une signature numerique de message 
Cas ou Texposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver k un contr61eur la signature numerique d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entites. 
L Une premiere entite appelee temoin dispose des facteurs premiers p^ p^, 
... (p, , ...) (i etant superieur ou egal k 2) d'un module public n tel que n = 

Pi-Pi- Pa 

Le temoin dispose aussi 

* des composantes QA„ QA^, ... (QA,, ...), et QB,, QBj, ... (QB,, ...), 
representant des cles privees QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GA^,.... (GA,, ...) et GB„ GB^, ... (GB„ ...) 

* de I'exposant public de verification v. 

Les paires de c\6s privees et pubhques sont liees par des relations du type : 

GA.QA" mod n = 1 ou GA = QA'mod n 
IL Une deuxieme entite, pilote dudit temoin, est appeiee signataire. 
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in. Une troisieme entite, appelee controleur, verifie la signature du message 
m. 

Pour prouver la signature d'un message le temoin, le demonstrateur et le 
controleur ex6cutent les etapes suivantes : 

• etape 1. engagement R du temoin : 

A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers {r^, r^, Fj, ...}, telle que, pour chaque facteur premier Pj, 
chaque collection comporte un alea rjpositif et plus petit que p, . 
Pour chaque facteur premier p. , le temoin eleve chaque alea r, a la puissance 
V ieme modulo p. 

Rj = r,'' mod p, 

(de sorte que le nombre operations arithmetiques modulo a effectuer 
pour calculer chacun des pour chacun des est reduit par rapport a ce 
qu 'il serait si les operations etaient ejfectuees modulo n) 
Puis, le temoin etablit chaque engagement R modulo n selon la methode des 
restes chinois. 

II y a autant d'engagements R que de collections d*aleas {r^, r^, ...}. 

• etape 2. defi d destine au temoin : 

Le signataire applique une fonction de hachage f ayant comme arguments le 
message m et chaque engagement R pour obtenir au moins une collection 
de defis d {dA, dB, ••.} tels que 0 < dA < v - 1. Le nombre des collections 
de defis d est egal au nombre d'engagements R, chaque collection {dA, dB,; 
...} comprend un nombre de defis egal au nombre de paires de cles. 
Le signataire transmet les collections de defis d au temoin. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule des reponses D a partir desdites collections de d6fis d 
{dA, dB, ...} regues du contrSleur. A cet effet, 
il effectue des operations du type : 

D, = . QA, . QBj . mod p. 
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(de sorte que le nombre d' operations arithmetiques modulo a ejfectuer 
pour calculer chacun des pour chacun des pj est reduit par rapport a ce 
qu'il serait si les operations etaient ejfectuees modulo n) 
puis, il applique la methode des testes chinois. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

Le temoin transmet les reponses D au signataire et/ou au contrdleur. 

• etape 4. donnees destinees au controleur : 

Le signataire transmet un message signe au controleur comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 
- chaque reponse D 

• etape 5. verification par le controleur : 

Cas ou le controleur revolt la collection des defis d, 

Dans le cas ou le controleur revolt la collection des defis d et des reponses 
D, ledit controleur calcule a partir de chaque reponse D un engagement R' 
en effectuant des operations du type : 

R'^ GA GB ...D' mod n 

ou du type : 

R^ GA GB mod n 

Le controleur applique la fonction de hachage f ayant conune arguments le 
message m et chaque engagement reconstruit R' pour reconstruire chaque 
defi d'. 

Le controleur verifie que chaque defi d' reconstruit est identique au defi d 

figurant dans le message signe. ^ 

Cas ou le controleur revolt la collection des engagements R 

Dans le cas ou le controleur revolt la collection des engagements R et des 

reponses D, ledit controleur applique la fonction de hachage f ayant conune 

arguments le message m et chaque engagement R pour reconstruire chaque 
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d6fi d'. 

Le controleur reconstruit alors la collection des engagements R* en 
effectuant des operation du type 

R' = GA . GB ''"^ . ... D' mod n 

ou du type : 

R'. GA GB ...= mod n 
Le controleur verifie que chaque engagement R' reconstmit est identique a 
Tengagement R figurant dans'^le message signe. 

Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la cle privee Q 
La paire de cles GA, QA, „. n'a plus de raison d'etre systematiquement 
deduite de I'identite du temoin, comme dans le cas du procede GQ, 
Selon une variante de realisation, un grand nombre de temoins utilisent le 
meme ensemble de cles publiques tres courtes GA, GB, GC, GD ... par 
exemple, 4, 9, 25 et 49. 

Dans le cas de la variante de realisation ci-apres exposee les composantes 
QAj, QA^, ... (QA. , ...), et QB^, QB^, ... (QB. , ...), ... des cles privees QA, 
QB, ... sont des nombres tires au hasard a raison d'une composante QAj , 
QB,5 ... pour chacun desdits facteurs premiers p.. Lesdites cles privees QA, 
QB, peuvent etre calculees a partir desdites composantes QAj, QA^, ... (QA. 
, ...), et QBj, QBj, ... (QB., ...), ... par la methode des restes chinois. 
Les cles publiques GA, GB, ... sont calculees en effectuant des operations 
du type : 

GAj= QA^modp. 
puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA^QA'modn 

ou bien tel que 

GAQA'modn^ 1 

Ainsi, le nombre d' operations arithmetiques modulo a effectuer pour 
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calculer chacun des GA. pour chacun des est reduit par rapport a ce qu'il 
serait si les operations etaient effectu6es modulo n. 

De preference Texposant public de verification v est un nombre premier. 
Dans ce cas la paire de cl6s GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 
De preference, Texposant public de verification v est du type 

v = a'^ 

oil k est un parametre de securite. 

De preference, egalement I'exposant public de verification v est du type 

v = 2'' 

ou k est un parametre de s6curit6. 

Dans ce cas, la cle publique GA est un carre gA^ inferieur a n choisi de telle 
sorte que T equation 

x^ = gAmodn 

n*ait pas de racine en x dans Tanneau des entiers modulo n. 

Les composantes QA^, QA^, ... (QA. , ...) de la cle privee QA sont alors 

telles que : 

GA= QA.'^'modp, 

ou bien telles que : 

GA,QA,'^"^^modp.= l 
On les obtient en extrayant la kieme racine carree de GA dans le corps de 
Galois CG(p.), 

Ainsi, le nombre d'operations arithmetiques modulo p^ a effectuer pour 
calculer chacun des QAj pour chacun des p^ est reduit par rapport a ce qu'il 
serait si les operations etaient effectuees modulo n. 

On demontre que la paire de cles GA, QA confere une securite equivalente 
a la connaissance de la factorisation de n. 
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De preference, pour extraire la kieme racine carree de GA dans le corps de 
Galois CG(Pj), on utilise les methodes suivantes : 

- dans le cas ou le facteur premier p^ est congru a 3 modulo 4, on 
applique notanmient un algorithme du type : 

X = (p+l)/4 ; y = x' mod (p-1) ; z = y ; QA, = OA' mod p. 

- dans le cas ou le facteur premier Pj est congru a 1 modulo 4, on 
emploie les suites de Lucas. 

Systeme 

La presente invention conceme egalement un systeme permettant de mettre 
en oeuvre le procede ci-dessus expose. 

Le systeme selon T invention permet de diminuer la charge de travail 
pendant une session destinee a prouver a un serveur controleur, 

- Tauthenticite d'tine entite et/ou 

- Torigine et Tintegrite d'un message m. 
Le systeme met en oeuvre trois entites : 

1. Une premiere entite, appelee dispositif temoin, contenue notanunent 
dans un objet nomade se presente par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p^, p^, (p^ , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = p,-P2« P3 

Le dispositif temoin dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA^, QA^, ... (QA,, ...), et QB^, QB^, ... (QB,, ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA^, GA^, ... (GA., ...) et GBj, GB^, ... (GB,, ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cles privees et cles publiques etant liees par des relations du type : 
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GA.QA" mod n = 1 ou GA = QA"mod n 

Le dispositif t6moin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R,-r"mod p, 
ou Tj est un alea tel que 0 < < p, , 

II. Le systeme met en oeuvre une deuxieme entite, appel^e dispositif pilote 
dudit dispositif temoin. EUe peut etre contenue notamment dans ledit objet 
nomade. Le dispositif pilote est plus pr6cisement appele : 

* dispositif d^monstrateur dans le cas de la preuve de 1' authenticity 
d'une entity ou de I'authenticite d*un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
rintegrity d'un message, 

IIL Le systeme met en oeuvre une troisieme entite, appelee dispositif 
controleur, se pr^sentant notamment sous la forme d'un terminal et/ou d'un 
serveur distant connecte k un r6seau de communication informatique. Le 
dispositif controleur comporte des moyens de connexion pour le connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique au dispositif temoin. Le dispositif controleur verifie 
rauthentification ou Torigine et Tintegrite d'un message. 
Le dispositif temoin .re9oit du dispositif pilote ou du dispositif controleur un 
ou plusieurs defis d tel que 0<d<vx-l. II comporte des deuxiemes 
moyens de calcul pour calculer a partir des defis d une ou plusieurs 
reponses D en effectuant des operations du type : 

Dj = • QA( mod p, 
ou r. est un alea tel que 0 < < 

(de sorte que le nombre d" operations arithmetiques modulo p. a effectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacune des reponses 
D. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n) 
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Le dispositif controleur, re9oit une ou plusieurs reponses D. II comporte des 
troisiemes moyens de calcul pour calculer a partir desdites reponses D des 
engagements R' en effectuant des operations du type : 

R',= GA D" mod n 

ou du type : 

RVGA*'=D"modn 

Le dispositif controleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% d, D} sont coherents. 

Cas ou I'exposant de verification v est unique 
De meme que precedemment, le systeme selon I'invention met en oeuvre 
trois entites. 

I. Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p^, p^, ... (p. , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = Pj.Pj- Pa* — » 

Le dispositif temoin dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QAj, QA2, ... (QAj, ...), et QBj, QB^, ... (QB^, ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GAj, ... (GA^, ...) et GB^, GB^, ... (GB., ...), 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des i:elations du type : 

GA.QA' mod n = 1 ou GA = QA'mod n 
Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R. A cet effet, 
• il effectue des operations du type : 
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R, = r; mod p, 

ou Tj est un entier, tire au hasard, associe au nombre premier p,, tel que 0 < 

< Pm appartenant a au moins une collection d'aleas {r^, r^, Tj, ...}, 
• puis, il applique la m^thode des restes chinois. 

II y a autant d' engagements R que de collections d'al6as {r^, r^, Fj, ..,}, 
Le nombre d' operations arithmetiques modulo Pj a effectuer par lesdits 
premiers moyens de calcul pour calculer chacun des Rj pour chacun des Pj 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II. La deuxieme entite, appelee dispositif pilote dudit dispositif t6moin, peut 
etre contenue notamment dans ledit objet nomade. Le dispositif pilote est 
appele : 

* dispositif demonstrates dans le cas de la preuve de Tauthenticite 
d'une entite ou de Tauthenticit^ d'un message, 

* dispositif de signature dans les cas de la preuve de I'origine et de 
rintegrite d'un message, 

III. La troisieme entite, appelee dispositif controleur, se presente 
notamment sous la forme d'un tenninal et/ou d'un serveur distant connecte 
a un reseau de conununication informatique. Le dispositif controleur 
comporte des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique audit 
dispositif temoin. Le dispositif controleur verifie Tauthentification ou 
I'origine et Tintegrite d'un message, 

Plus particulierement, dans le cas de cette variante de realisation, le 
dispositif temoin regoit du dispositif pilote ou du dispositif controleur, des 
collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des 
collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. 
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Le dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a paitir de chacune desdites collections de defis {dA, dB, ...} des 
reponses D. A cet effet, 

• il effectue des operations du type : 

D. = r,. QA. • QB^ . ... mod 

• puis, il applique la methode des restes chinois, 

II y a autant de reponses D que d' engagements R et de defis d. 
II convient de souligner, ici aussi, que le nombre d'operations arithmetiques 
modulo p/a effectuer par lesdits deuxiemes moyens de calcul pour calculer 
chacun des pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

Le dispositif controleur revolt une ou plusieurs reponses D. II comporte des 
troisiemes moyens de calcul pour calculer a partir desdites reponses D un 
engagement R' en effectuant des operations du type : 

R' = GA GB ...D^ mod n 

ou du type : 

R'. GA GB ...= mod n 

Le dispositif controleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% d, D} sont coherents. 

On va maintenant exposer les variantes de realisation du systeme selon 
r invention concemant : 

- le cas d'une authentification d'entite, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'une authentification d'entite 
Cas ou I'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur I'authenticite d'une entite. 
Conune dans le cas general, le session met en oeuvre trois entites du 
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syst&me selon Tinvention. 

I. Une premiere entit6, appel6e dispositif t6moin, contenue notamment dans 
un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire h microprocesseur. 

Le dispositif t6moin dispose d'une premiere zone m6moire contenant des 
facteurs premiers p^, p,, ... (p, , ...) (i etant superieur ou 6gal a 2) d'un 

module public n tel que n = p^.p,. Pj Le dispositif temoin dispose aussi 

d'une deuxifeme zone m6moire contenant : 

* des composantes QA„ QA,, ... (QA,, ...), et QB„ QB,, ... (QB,, ...), 
.... representant des cl6s priv6es QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA,, ...) et GB^, GB^, ... (GB,, ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont li6es par des relations du type : 
GA.QA" mod n s 1 ou GA = QA'mod n 

II. La deuxieme entite, appelee dispositif d6monstrateur dudit dispositif 
temoin, peut etre contenue notamment dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif contr61eur, se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte a un r6seau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter electriquement, 61ectromagn6tiquement, 
optiquement ou de maniere acoustique audit dispositif t6moin, 

Pour prouver l'authenticit6 d'une entite, ledit dispositif t6moin, ledit 
dispositif d6monstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en pnv6, a chaque appel, au moins une collection de nombres 
entiers {r„ r^, Fj, ...}, telle que, pour chaque facteur premier p,, chaque 
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collection comporte un alea r^positif et plus petit que Pj . 

Le dispositif t6moin comporte des deuxiemes moyens de calcul pour Clever 

chaque al6a r, a la puissance v ieme modulo p, , pour chaque facteur premier 

Rj = r ' mod p, 

On notera que le nombre d' operations arithmetiques modulo p^ a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des Rj pour 
chacun des p^ est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n. 

Puis, lesdits deuxiemes moyens de calcul du dispositif temoin 6tablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d'engagements R que de collections d' aleas {r^, r^, Fj, •..}, 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif demonstrateur comporte des moyens de transmission pour 
transmettre tout ou partie de chaque engagement R au dispositif contrdleur. 
Le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir re9u tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, ....} comprend un nombre de defis egal au nombre de 
paires de cles. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
revues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D, s r, . QA, ^ . QB. • mod p. 
puis, il applique la methode des restes chinois. 

Le nombre d'operations arithmetiques modulo Pj a effectuer par les 
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quatriemes moyens de calcul pour calculer chacun des pour chacun des 
Pj est r^duit par rapport h ce qu'il serait si les operations 6taient effectu6es 
modulo n. 

II y a autant de reponses D calcul6es par le temoin que d' engagements R et 
de defis d, 

• etape 4. donnees destinees au dispositif contrdleur : 

Le demonstrateur comporte des moyens de transmission pour transmettre au 
dispositif controleur chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur comporte des cinquiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

W= GA GB ^. ...D' mod n 

ou du type : 

R' . GA GB '^ = mod n 

Le dispositif controleur comporte des sixiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis a f etape 2 par le dispositif 
demonstrateur. 

Cas d'une authentification de message 
Cas ou I'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuliere, la session est 

destinee a prouver a un controleur T authenticity d'un message m. 

Comme dans le cas general, la session met en oeuvre trois entites du 

systeme. ^ . 

L Une premiere entite, appelee dispositif temoiri, contenue notamment dans 

un objet nomade se presente par exemple sous la forme d'une carte bancaire 

a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 
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facteurs premiers p„ p„ ... (p, , ...) (i ^tant sup6rieur ou egal k 2) d'un 
module public n tel que n = p^.p^. p^. ... ,.Le dispositif temoin dispose aussi 
d'lme deuxieme zone memoire contenant 

* des composantes QA., QA„ ... (QA., ...). et QB„ QB„ ... (QB., ...), 
.... reprdsentant des cles priv6es QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA„ ... (GA„ ...) et GB„ GB„ ... (GB., ...) 

* un exposant public de verification v. 

Les paires de cles priv6es et publiques sont liees par des relations du type : 

GA.QA' mod n s 1 ou GA = QA'mod n 
II. Une deuxieme entite, appel^e dispositif demonstrateur dudit dispositif 
t6moin, peut 6tre contenue notamment dans ledit objet nomade. 
in. Une troisieme entity, appelde dispositif contrdleur. se pr6sente sous la 
forme d'un terminal et/ou d'un serveur distant connecte k un r^seau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter 61ectiiquement, electromagnetiquement, 
optiquement ou de maniere acoustique audit dispositif t6moin. 
Pour prouver I'authenticite d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif contrdleur ex6cutent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 

hasard et en prive, a chaque appel, au moins une collection de nombres 

entiers {r„ r„ r^, ...}, telle que pour chaque facteur premier p„ chaque 

collection comporte un al6a r.positif et plus petit que p, . 

Le dispositif temoin comporte des deuxi^mes moyens de calcul pour Clever 

chaque alea r, k la puissance v ieme modulo p, , pour chaque facteur premier 

Pi' 
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Le nombre d'operations arithm^tiques modulo p, a effecmer par les 
deuxiemes moyens de calcul pour calculer chacun des Rj pour chacun des 
Pj est reduit par rapport a ce qu'il serait si les operations etaient effectudes 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d'engagements R que de collections d'aleas {r^, r^, ...}. 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif d6monstrateur comporte des premiers moyens de calcul pour 
calculer un jeton T, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R. 

Le dispositif demonstrateur comporte des moyens de transmission pour 
transmettre le jeton T au dispositif controleur. 

Le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir re9u le jeton T, au moins une collection de d6fis d {dA, 
dB, ...} tels que 0 < dA < v - 1, Le nombre des collections de defis d est 
egal au nombre d' engagements R. Chaque collection {dA, dB, „.} 
comprend un nombre de defis egal au nombre de paires de cles. 

• etape 3. reponse du dispositif temoin au deft d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
re9ues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D, = . QA, . QB^ . mod p^ 
puis, il appliquant la methode des restes chinois. 

Le nombre d' operations arithmetiques modulo p^ a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des Dj pour chacun des 
Pj est reduit par rapport k ce qu'il serait si les operations etaient effectuees 
modulo n: 
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II y a autant de r6ponses D calculees par le temoin que d' engagements R et 
de defls d. 

• etape 4. donnees destinees au dispositif controleur : 

Le d^monstrateur comporte des moyens de transmission pour transmettre au 
dispositif contrdleur chaque r^ponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur comporte des cinquiemes moyens de calcul pour 
calculer k partir de chaque r6ponse D un engagement R' en effectuant des 
operations du type : 

R' = GA . GB ... D' mod n 

ou du type : 

R' . GA GB **" . ... = D* mod n 

Le dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R', le jeton T'. 

Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que le jeton T» est identique au jeton T transmis a 
I'etape 2 par le dispositif demonstrateur. 

Cas d'une signature num6rique de message 
Cas oil Texposant de verifieation v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee k prouver a un controleur la signature numerique d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entitds du 
systeme : 

L Une premiere entite, appelee dispositif temoin, contenues notamment 
dans un objet nomade se presente par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p„ p,, ... (p, , ...) (i etant superieur ou egal k 2) d'un 
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module public n tel que n = Pi-Pi* P3 

Le dispositif t^moin comporte 6galement une deuxi^me zone memoire 
contenant : 

* des composantes QA^, QA^, ... (QA,, ...), et QB^, QB^, ... (QB, , ...), 
5 repr6sentant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA^, •.. (GAj, ...) et GB^, GB^, (GB,, .••) 

* un exposant publique de verification v. 

Les paires de cles privees et publiques sont li6es par des relations du type : 
10 GA.QA' mod n = 1 ou GA = QA'^mod n 

II. Une deuxieme entite, pouvant etre contenue notamment dans ledit objet 
nomade, est appelee dispositif de signature. 

in. Une troisieme entite, appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connect6 h, un reseau de 

15 communication informatique. Le dispositif controleur comporte des moyens 

de connexion pour le connecter ^lectriquement, 61ectromagn6tiquement, 
optiquement ou de maniere acoustique au dispositif temoin. 
Pour prouver la signature d'un message, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 

20 suivantes : 

* etape 1. engagement R du temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r^, Fj, ...}, telle que pour chaque facteur premier p,, chaque 
25 collection comporte un alea Tjpositif et plus petit que p. . 

Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r. k la puissance v ieme modulo p, , pour chaque facteur premier 

= r ' mod p, 
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Ainsi, le nombre d' operations arithmetiques modulo a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R, pour chacun des p, 
est reduit par rapport a ce qu'il serait si les operations etaient effectu6es 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul du dispositif temoin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d' engagements R que de collections d-aleas {Tj, r^, •..}, 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif de signature comporte des troisiemes moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant conune arguments 
le message m et chaque engagement R, au moins une collection de defis d 
{dA, dB, „.} tels que 0<dA<v-l. Le nombre des collections de defis d 
est egal au nombre d'engagements R. Chaque collection {dA, dB, ..•} 
comprend un nombre de defis egal au nombre de paires de cles. 
Le dispositif de signature transmet les collections de defis d au dispositif 
temoin, 

• etape 3. reponse du dispositif temoin au deft d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, „.} 
revues du dispositif conuroleur. A cet effet, 
il effectue des operations du type : 

D, = r. . QA. . QB. . ... mod p. 
puis, il applique la methode des restes chinois. 

Le nombre d'operations arithmetiques modulo k effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D, pour chacun des 
Pj est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant de reponses D calculees par le temoin que d'engagements R et 
de defis d. 
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Le dispositif temoin comporte des moyens de transmission pour transmettre 
les reponses D au dispositif de signature et/ou au dispositif controleur. 

• etape 4. donnees destinees au dispositif controleur : 

Le dispositif de signature transmet au dispositif controleur un message 
5 signe comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque reponse D 

• etape 5. verification par le dispositif controleur : 

10 Cas oil le dispositif controleur revolt la collection des defis d, 

Dans le cas oii le dispositif controleur re§oit les collections des defis d et 
des reponses D, ledit dispositif controleur comporte des cinquiemes moyens 
de calcul pour calculer a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 
15 R'= GA GB .-D' mod n 

ou du type : 

R\ GA GB ...= mod n 

Le dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer chaque defi d', en appliquant la fonction de hachage f ayant comme 
20 arguments le message m et chaque engagement reconstruit R'. 

Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque defi d' est identique au defi d figurant dans 
le message signe. 

Cas oil le dispositif controleur revolt la collection des engagements R 

25 Dans le cas ou le dispositif controleur regoit la collection des engagements 

R et des reponses D, ledit dispositif controleur comporte des cinquiemes 
moyens de calcul pour calculer chaque defi d', en appliquant la fonction de 
hachage f ayant conmie arguments le message m et chaque engagement R. 
Le dispositif controleur comporte des sixiemes moyens de calcul pour 
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calculer alors la collection des engagements R' en effectuant des operation 
du type 

= GA GB ' ^ . ...D^ mod n 

ou du type : 

R' . GA ' ^ • GB ' " . ... = mod n 

Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque engagement R' reconstruit est identique a 
r engagement R figurant dans le message signe. 

Paire de cles conferant une securite equivalente a la comiaissance de la 

cle privee Q 

Dans le cas de la variante de realisation ci-apres exposee les composantes 
QAj, QA^, ... (QA,, ...), et QB^ QB^, ... (QB., ...), ... des cles privees QA, 
QB, ... sont des nombres tires au hasard a raison d'une composante QAj , 
QB, , ... pour chacun desdits facteurs premiers lesdites cles privees QA, 
QB, pouvant etre calculees a partir desdites composantes QAj, QA^, ... (QA, 
, ...), et QBj, QBj, ... (QB,, ...), ... par la methode des restes chinois. 
Dans le cas de cette variante, le dispositif temoin comporte des huitiemes 
moyens de calcul pour calculer lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GA,= QA/modp, 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA*modn 

ou bien tel que 

GA.QA' mod n = 1 

Le nombre d'operations arithmetiques modulo a effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun des 
GA, pour chacun des est reduit par rapport par rapport a ce qu'il serait si 
les operations etaient effectuees modulo n. 

De preference dans ce cas, Texposant public de verification v est un nombre 
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premier. II en r^sulte que la pake de cles GA, QA confere une s6curite 
equivalente a la connaissance de la c\6 privee QA. 

Paire de cles conferant une securite equivalente a la connaissance de la 

factorisation de n 

De preference, Texposant public de verification v est du type 



v = a'' 



ou k est un parametre de securite. 

De preference egalement, Texposant public de verification v est du type 

v = 2"^ 

10 ou k est un paramfetre de securite, 

Dans ce cas, la c\€ publique GA est un carre gA^ inferieur k n choisi de 
telle sorte que 1' equation 

x^ = gAmodn 

n'a pas de racine en x dans Tanneau des entiers modulo n. 
15 Le dispositif temoin comporte des neuviemes moyens de calcul pour 

calculer les dites composantes QA^, QA^, ... (QA. , ...) de la cle privee Q A 
en appliquant des formules telles que : 

GA= QA. """^^^ mod 

ou bien telles que : 
20 GA .Q A, mod 1 

et en extrayant la kieme racine carree de GA dans le corps de Galois 
CG(p,). 

Ainsi, le nombre d' operations arithmetiques modulo a effectuer par les 
neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
25 QA| pour chacun des est reduit par rapport a ce qu'il serait si les 

operations etaient effectuees modulo n. 

On demontre que la paire de cles GA, QA confere une securite equivalente 
a la connaissance de la factorisation de n. 

De preference, pour extraire la kieme racine carree de GA dans le corps de 
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Galois CG(Pj), on utilise les methodes suivantes : 

- dans le cas ou le facteur premier p, est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

5 X = (p+l)/4 ; y = x' mod (p-1) ; z = y ; QA. s GA" mod p. 

- dans le cas ou le facteur premier p, est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

Objet nomade. Carte bancaire 
10 La presente invention conceme egalement un objet nomade permettant de 

mettre en oeuvre le proc6de ci-dessus expose. 

L' objet nomade selon Tinvention se presente, par exemple, sous la forme 
d'une carte bancaire a microprocesseur. II permet de diminuer la charge de 
travail pendant une session destinee a prouver a un serveur controleur, 
15 - Tauthenticite d*une entite et/ou 

- I'origine et Fintegrite d'un message m, 
L' objet nomade fait intervenir trois entites : 

I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin dispose d'une premiere zone memoire 
20 contenant des facteurs premiers p^, p^, (p. , .•.) (i etant superieur ou egal a 

2) d'un module public n tel que n = p^.p^. P3 Le dispositif temoin 

dispose aussi d'une deuxieme zone memoire contenant : 

* des composantes QA„ QA„ ... (QA,, ...), et QB,, QB„ ... (QB., ...), 
representant des cles privees QA, QB, ... 

25 * des cles publiques GA, GB, ... ayant respectivement pour 

composantes GA„ GA^, ... (GA,, ...) et GB^, GB„ ... (GB, , ...) 

* des exposants publics de verification vx, vy, ... 

Les cles privees et les cles publiques sont liees par des relations du type : 
GA.^A" mod n ^ 1 ou GA = QA"mod n 
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Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

Rj = mod p, 
ou est un alea tel que 0 < < Pj . 

Ainsi, le nombre d*operations arithmetiques modulo p, a effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des Pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n. 

II. Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin. 
EUe pent etre egalement contenue dans ledit objet nomade. Le dispositif 
pilote est appele : 

* dispositif demonstrateur dans le cas de la preuve de I'authenticite 
d'une entite ou de I'authenticite d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
I'integrite d'un message, 

III. Une troisieme entite, appelee dispositif controleur, se presente 
notanunent sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication infonnatique. Le dispositif controleur verifie 
Tauthentification ou Torigine et Tintegrite d'un message, 

L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de manidre 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleur. 

Le dispositif temoin re9oit du dispositif pilote ou du dispositif controleur un 
ou plusieurs defis d tel que 0<d<vx-let comporte des deuxiemes 
moyens de calcul pour calculer a partir dudit defi d une ou plusieurs 
reponses D en effectuant des operations du type : 

Dj = r. . QA. ^ mod Pj 
ou Fj est un alea tel que 0 < r, < Pj 
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Ainsi, le nombre d*operations arithmetiques modulo Pj a effectuer par 
lesdits deuxiemes moyens de calcul poiir calculer chacune des reponses D, 
pour chacun des Pj est reduit par rapport a ce qu'il serait si les operations 
etaient effectuees modulo n. 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou les dites reponses D. 

Cas ou Texposant de verification v est unique 
De meme que precedemment^ Tobjet nomade fait intervenir trois entites : 
I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin dispose d'une premiere zone memoire 
contenant des facteurs premiers p^, p^, ... (p,, ...) (i etant superieur ou egal 

a 2) d'un module public n tel que n = p^.p^. Le dispositif temoin 

dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA^, QA^, ... (QA,, ...), et QB,, QB^, ... (QB,, ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant^ respectivement pour 
composantes GA^, GA^, ... (GAj, ...) et GBj, GB^, ... (GB„ ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 

GA.QA' mod n = 1 ou GA = QA^'mod n 
Le dispositif temoin comporte aussi des premiers moyens de calcul pom: 
calculer des engagements R, 

• en effectuant des operations du type : 

Rj = mod p, 

ou Fj est un entier, tire au hasard, associe au nombre premier Pj, tel que 0 < 
< Pi , appartenant a au moins une collection d'aleas {r^, r^, Tj, ...}, 

• puis en appliquant la methode des restes chinois, 

II y a autant d'engagements R que de collections d'aleas {r^, r^, Fj, ...}, 
Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par 
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lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des Pi est r^duit par rapport a ce qu'il serait si les operations 6taient 
effectuees modulo n. 

!!• Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin. 
EUe peut etre egalement contenue dans ledit objet nomade. Le dispositif 
pilote est appele : 

* dispositif demonstrateur dans le cas de la preuve de I'authenticite 
d'une entite ou de I'authenticite d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
rintegrite d'un message. 

III. Une troisieme entity, appelee dispositif controleur, se presente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique. Le dispositif controleur verifie 
I'authentification ou Torigine et I'integrite d'un message. 
L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleur. 

Le dispositif temoin refoit du dispositif pilote ou du dispositif controleur, 
des collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d 6t£mt egal au nombre d' engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. 

Le dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, ..J des 
reponses D. A cet effet, 

• il effectue des operations du type : 

D| s . QA, . QB, . ... mod 

• puis, il appliquant la methode des restes chinois. 
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II y a autant de reponses D que d' engagements R et de defis d. 
Ainsi, le nombre d'op6rations aridimetiques modulo p, ^ effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacun des D, pour 
chacim des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectu6es modulo n. 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou lesdites reponses D. 

On va maintenant exposer des variantes de realisation de I'objet nomade 
selon r invention concemant : 

- le cas d'une authentification d' entity, 

- le cas d'une authentification de message, 

- le cas d'une signature num6rique de message. 

Cas d'une authentification d 'entity 
Cas ou Pexposant de verification v est unique. 
Dans le cas de cette variante de realisation particuli^re, la session est 
destinde k prouver a un dispositif controleur I'authenticite d'une entite. 
Conune dans le cas general, la session fait intervenir trois entites. 
I. Une premi&re entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin comporte une premiere zone memoire 
contenant des facteurs premiers p„ p,, ... (p,, ...) (1 etant superieur ou egal 

k 2) d'un module public n tel que n = p,.pj. p, Le dispositif temoin 

comporte aussi une deuxieme zone memoire contenant : 

* des composantes QA„ QA„ ... (QA„ ...), et QB„ QB„ ... (QB., ...), 
repr6sentant des cl€s privees QA, QB, ... 

* des cles publiques GA, GB. ... ayant respectivement pour 
composantes GA„ GA„ ... (GA„ ...) et GB„ GB,, ... (GB„ ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA' mod n ^ 1 ou GA = QA'mod n 
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n. Une deuxieme entit6 est appelee dispositif demonstrateur du dispositif 
temoin. Elle peut Stre 6galement contenue dans ledit objet nomade. 
HI* Une troisieme entity, appel6e dispositif controleur, se pr6sente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connect^ 
h un r6seau de communication informatique. 

L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, dlectromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif t6moin et/ou ledit dispositif demonstrateur audit 
dispositif controleur. 

Pour prouver Tauthenticitd d'une entite, ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {Tj, r^, Fj, ...}, telle que, pour chaque facteur premier P|, chaque 
collection comporte un alea r, positif et plus petit que Pj . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r^ ^ la puissance v ifeme modulo p, , pour chaque facteur premier 

Rj = r^ mod P| 

Ainsi, le nombre d' operations arithmetiques modulo Pj a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des K^ pour chacun des Pj 
est reduit par rapport a ce qu'il serait si les operations etaient effectu6es 
modulo n) 

Puis, lesdits deuxiemes moyens de calcul du dispositif t6moin 6tablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d' engagements R que de collections d'al^as {r^y r^, r^, ...}. 

• etape 2. transmission des engagements R et reception des defis d 
destines au dispositiftemoin : 
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L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif contrdleur tout ou partie de chaque engagement R. L'objet 
nomade comporte des moyens de reception pour recevoir des collections de 
d6fis d {dA, dB, ...} produits par ledit dispositif contrdleur. 

• etape 3. reponse du dispositif t^moin aux defis d : 

Le dispositif temoin comporte des troisi^mes moyens de calcul pour 
calculer des r6ponses D, k partir desdites collections de defis d {dA, dB, ...} 
regues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D, = r, . QA, . QB, " . ... mod p, 
puis, il applique la methode des restes chinois. 

Ainsi, le nombre d'op6rations arithmetiques modulo p, a effectuer par les 
troisidmes moyens de calcul pour calculer chacun des D, pour chacun des p, 
est r^duit par rapport a ce qu'il serait si les operations dtaient effectuees 
modulo n. 

II y a autant de reponses D calcul6es par le temoin que d'engagements R et 
de defis d. 

• etape 4. donnees destinees au dispositif controleur : 

L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif contrdleur tout ou partie de chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur verifie la coherence des triplets {R, d, D} et 
I'authenticite de I'entitd contr61€e. 

Cas d'une authentification de message 
Cas ou I'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee k prouver k un controleur rauthenticit6 d'un message m. 
Comme dans le cas general, l'objet nomade fait intervenir trois entites : 
L Une premiere entite, appel6e dispositif temoin, est contenue dans ledit 
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objet nomade,. 

Le dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers Pj, p^, — (p^ , ...) (i etant superieur ou egal a 2) d*un 

module public n tel que n = Pi-p^. P3 dispositif temoin comporte 

aussi une deuxieme zone memoire contenant 

* des composantes QAj, QA^, (QAj , ...), QB^, QBj, ... (QBj , ...), 
representant des cles privees QA, QB, ... 

* des cles publiques'^ GA, GB, ... ayant respectivement pour 
composantes GA^, GA^, ... (GA(, ...) et GBj, GB^, ... (GB., ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA' mod n = 1 ou GA = QA" mod n 

II. Une deuxieme entite, est appelee demonstrateur dudit dispositif temoin. 
EUe pent etre egalement contenue dans ledit objet nomade. 

III. Une troisieme entite appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte a un reseau de 
conununication informatique, 

L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif controleur. 

Pour prouver Tauthenticite d'un message ledit objet nomade execute les 
etapes suivantes ; 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r^, r^, Tj, ...}, telle que, pour chaque facteur premier p^, chaque 
collection comporte un alea Fjpositif et plus petit que p^ . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
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chaque alea r, a la puissance v ieme modulo p, , pour chaque facteur premier 
Pp 

R = r,"" mod Pj 

Ainsi, le nombre d' operations arithmetiques modulo Pj a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R pour chacun des p. 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d' engagements R que de collections d'aleas {r^, r,, Fj, ..•}. 

• etape 2. reception des defis d destines an dispositif temoin: 

Le dispositif demonstrateur comporte des premiers moyens de calcul pour 
calculer un jeton T, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R. L'objet nomade 
comporte des moyens de transmission pour transmettre audit dispositif 
controleur le jeton T. L'objet nomade comporte des moyens de reception 
pour recevoir des collections de defis d {dA, dB, .•.} produits par ledit 
dispositif controleur au moyen du jeton T. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, •.•} 
regues du dispositif controleur. A cet effet, 
il effectuant des operations du type : 

D, = . QA^ . QB, . ... mod p, 
puis, il applique la methode des restes chinois. 

Ainsi, le nombre d' operations arithmetiques modulo ^ effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D, pour chacun des Pj 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n 
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U y a autant de reponses D calculees par le temoin que d' engagements R et 
de d^fis d. 

* etape 4. donnees destinees au dispositif contrdleur : 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif contr61eur chaque reponse D. 

* etape 5. verification par le dispositif contrdleur : 

Le dispositif controleur verifie la coherence des triplets {R, d, D) et 
Tauthenticite du message m. 

Cas d'une signature numerique de message 
Cas ou Texposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un controleur la signature numerique d'un message m. 
Comme dans le cas general, Tobjet nomade fait intervenir trois entites : 
L Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin comporte une premiere zone memoire 
contenant des facteurs premiers p^, p^, (Pj, ..•) (i etant superieur ou egal 
a 2) d'un module public n tel que n = Pi-Pj- Pa- — • Le dispositif temoin 
comporte aussi une deuxieme zone memoire contenant : 

* des composantes QA^, QA^, ... (QA., ...), et QB,, QB^, (QBj, ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GA^, ... (GA. , ...) et GB^, GB^, ... (GB, , ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 

GA.QA"^ mod n = 1 ou GA = QA'^mod n 
n. Une deuxieme entite est appelee dispositif de signature. Elle pent etre 
egalement contenue dans ledit objet nomade. 

III. Une troisieme entite appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte a un reseau de 
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communication infomiatique. 

L'objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et ledit dispositif de signature audit 
dispositif controleur. 

Pour prouver la signature d*un message ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 

hasard et en prive, k chaque appel, au moins une collection de nombres 

entiers {r„ r^, Fj, .•.}, telle que, pour chaque facteur premier p^, chaque 

collection comporte un alea r^positif et plus petit que Pj . 

Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 

chaque alea r^ a la puissance v idme modulo Pj , pour chaque facteur premier 

Pi' 

Ri = r/ mod Pj 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif t6moin etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
Ainsi, le nombre d'operations arithmetiques modulo Pj a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R. pour chacun des p. 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant d'engagements R que de collections d'aleas {r^, r^, ...}. 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif de signature comporte des troisiemes moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R, au moins une collection de defis d 
{dA, dB, ...} tels que 0<dA<v-l.Le nombre des collections de defis d 
etant egal au nombre^d' engagements R. Chaque collection {dA, dB, ...} 
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comprend un nombre de defis egal au nombre de paires de cles. 

Le dispositif de signature transmet les collections de d6fis d au dispositif 

temoin. 

• etape 3. reponse du dispositif temoin au deft d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des r^ponses D, k partir desdites collections de defis d {dA, dB, ...} 
re?ues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

= r, . QAj . QB. . ... mod p, 
puis, il appliquant la methode des restes chinois. 

Ainsi, le nombre d' operations arithmetiques modulo a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D, pour chacun des p^ 
est reduit par rapport k ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

L'objet nomade comporte des moyens de transmission pour transmettre les 
reponses D au dispositif de signature et/ou au dispositif controleur. 

• etape 4. donnees destinees au dispositif controleur : 

L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur un message signe comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque reponse D 

• etape 5. verification par le dispositif contrdleur ;^ 

Le dispositif controleur verifie la coherence des triplets {R, d, D} et la 
signature numerique du message m. 

Paire de cles conferant une securite equivalente a la connaissance de la 

cle privee Q 



44 



La paire de cles GA, QA,... n'a plus de raison d'etre systematiquement 
deduite de 1' identity du tdmoin, comme dans le cas du precede GQ. 
Dans le cas de la variante ci-apres exposee les composantes QA„ QA^, ... 
(QA„ ...), et QB„ QB,, ... (QB„ ...), ... des cl6s privees QA, QB, ... sont des 
nombres tires au hasard a raison d'une composante QA, , QB, , ... pour 
chacun desdits facteurs premiers p,, lesdites cles privees QA, QB, pouvant 
etre calculees a partir desdites composantes QA„ QA^, ... (QA,, ...), et QB„ 
QBj, ... (QB,, ...), par la methode des restes chinois. 

Le dispositif temoin comporte des huiti^mes moyens de calcul pour calculer 
lesdites cles publiques GA, GB, .... 

• en effectuant des operations du type : 

GA, = QA,"^ mod p, 

• puis en appliquant la inethode des restes chinois pour etablir GA tel que 

GA = QA*modn 

ou bien tel que 

GA.QA' mod n = l 

Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par les 
huiti^mes moyens de calcul dudit dispositif temoin pour calculer chacun des 
GA, pour chacun des p, est reduit par rapport k ce qu'il serait si les 
operations etaient effectuees modulo n. 

De preference, I'exposant public de verification v est un nombre premier. II 
en resulte que la paire de cles GA, QA. confere une securite equivalente k la 
connaissance de la cle privte QA. 

Paire de cles conferant une securite equivalente a la connaissance de la 

factorisation de n 

De preference, I'exposant public de verification v est du type 

v = a'' 

oil k est un parametre de securite. 

De preference egalemerit, I'exposant public de verification v est du type 
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v = 2"' 

ou k est un parametre de sdcurite. 

Dans ce cas, la cle publique GA est un carre gA^ inferieur a n choisi de telle 

sorte que I'equation 
5 x^sgAmodn 

n'ait pas de racine en x dans Tanneau des entiers modulo n 

Le dispositif t^moin comportant des neuviemes moyens de calcul pour 

calculer lesdites composantes QA^, QA^, (QAj , ...) de la cle privee QA 

en appliquant des formules telles que : 
10 GA= QA^'^'^^'^modp. 

ou bien telles que : 

GA.QA,'^*'^'modppl 
et en extrayant la kieme racine carree de GA dans le corps de Galois 
CG(p,). 

15 Ainsi, le nombre d' operations arithmetiques modulo p^ a effectuer par les 

neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
QA. pour chacun des est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

On demontre que la paire de cles GA, QA confere une securite equivalente 
20 a la connaissance de la factorisation de n. 

De preference, pour extraire la kieme racine carree de GA dans le corps de 
Galois CG(p.), on utilise les methodes suivantes : 

* dans le cas ou le facteur premier Pj est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 

25 algorithme du type : 

X = (p+l)/4 ly^x" mod (p-1) ; z = y ; QAj = GA' mod p. 

* dans le cas oil le facteur premier Pj est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 
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Terminal ou Serveur distant 
Concept general GQ II 

La presente invention conceme egalement un dispositif de controle, se 
presentant sous la forme d'un terminal ou d'un serveur distant connecte a 
un reseau de communication informatique. 

Le terminal ou le serveur selon T invention permet de mettre en oeuvre le 
procede ci-dessus expose et de diminuer la charge de travail pendant une 
session destinee a verifier : 

- Tauthenticite d'une entite et/ou 

- Torigine et Tintegrite d'un message m. 
Le dispositif de controle met en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets Pj, p^, ... (p., ..•) (i etant superieur ou 6ga\ a 2) 

- des cles publiques GA, GB, ... 

- des exposants publics de verification vx, vy, ... 

lesdites cles privees GA et les cles publiques associees QA etant liees par 
des relations du type : 

GA.QA" mod n ^ 1 ou GA = QA^mod n 
Le dispositif de controle fait intervenir trois entites. 

I- Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se presentant par example sous la forme d'une carte 
bancaire a microprocesseur. Le dispositif temoin produit des engagements 
R et des reponses D a des defis d. 

II. Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin. 

EUe pent etre contenue notanmient dans ledit objet nomade. 

in. Une troisieme entite, appelee dispositif controleur, est contenue dans 

ledit dispositif de controle. 

Le dispositif de controle comporte : 
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- des moyens de connexion pour connecter 61ectriquement, 
61ectromagn6tiquement, optiquement ou de mani^re acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donn6es produites 
par ledit dispositif controleur vers ledit dispositif t6moin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/ou dudit dispositif pilote. 

Le dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis d 
tel que 0 < d < vx - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D regues dudit dispositif temoin et/ou dudit dispositif pilote, des 
engagements en effectuant des operations du type : 

R',= GA',D" modn 

ou du type : 

RVGA'=D"modn 

- des troisiemes moyens de calcul pour verifier que les triplets {R', d, 
D} sont coherents. 

Cas oil Texposant de verification v est unique 
De meme que precedemment, ledit dispositif de controle se presente sous la 
fomie d'un terminal ou d'un serveur distant connect^ a un r6seau de 
communication informatique. II met en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p^, p^, (Pj, ...) (i etant superieur ou 6gal k 2) 

n = Pi-Pi- Pa- — ^ 

- des cles publiques GA, GB, ... 

- un exposant public de verification v 

Les cles privees GA et les cles publiques associees QA sont liees par des 
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relations du type : 

GA.QA' mod a = 1 ou GA = Q A' mod n 

ledit dispositif de controle fait intervenir trois entites : 

I. Une premiere entite, appelee dispositif temoin, est contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. Le dispositif temoin produit des engagements 
R et des reponses D a des defis d. 

II. Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin 
EUe peut etre contenue notanunent dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif contrdleur, est contenue dans 
ledit dispositif de controle. 

Le dispositif de controle comporte : 

- des moyens de connexion pour connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif controleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/Qu dudit dispositif pilote, 

Le dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis d 
{dA, dB, ...} tels que 0 < dA < v - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D refues du dudit dispositif temoin et/ou dudijt dispositif pilote, 
des engagements R' en effectuant des operations du type : 

R'= GA '\ GB .„D^ mod n 

ou du type : 

R' • GA GB ...= D'' mod n 
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- des troisiemes moyens de calcul pour verifier que les triplets {R% d, 
D} sont coh6rents. 

Cas d'une authentification d'entite 
Cas ou I'exposant de verification v est unique. 

5 Dans le cas de cette variante de realisation, la session est destinee a verifier 

Tauthenticite d'une entite. Dans le cas d'une authentification d'entite, le 
dispositif pilote est appele dispositif demonstrateur. 

Pour prouver Tauthenticite d'une entite ledit dispositif de controle execute 

les etapes suivantes : 
10 * etape 1. engagement R du dispositif temoin : 

Le dispositif temoin produit au moins un engagement R a partir d'au moins 

une collection d'aleas {Fj, r^, Fj, ...}, telle que, pour chaque facteur premier 

Pj, chaque collection cbmporte un alea r, entier positif et plus petit que Pj . 

II y a autant d*engagements R que de collections d'aleas. 
IS * etape 2« defis produits par le dispositif contrdleur et destines au 

dispositif temoin : 

Les moyens de reception du dispositif de controle regoivent tout ou partie 
de chaque engagement R, transmis par le dispositif demonstrateur, et le 
transmettent au dispositif controleur. 

20 Le dispositif controleur comporte des premiers moyens de calcul pour 

calculer, apres avoir regu tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, •..} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 

25 paires de cles. 

• etape 3. reponse du dispositif temoin aiix defis d : 
Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, h partir desdites collections de defis d {dA, dB, ...} 
revues du dispositif contrdleur. II y a autant de reponses D que 
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d' engagements R et de defis d. 

• etape 4. donnees desdnees au dispositif controleur : 

Les moyens de reception du dispositif de contrSle re9oivent du dispositif 
demonstrateur chaque reponse D. 

• etape 5. veiiGcation par le dispositif controleur : 

Le dispositif controleur comporte des deuxiemes nfioyens de calcul pour 
calculer a partir de chaque reponse D un engagement en effectuant des 
operations du type : 

R'= GA GB ...D' mod n 

ou du type : 

R'. GA GB mod n 

Le dispositif controleur comporte des troisiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis a Tetape 2 par le dispositif 
demonstrateur. 

Cas d'une authentification de message 
Cas ou I'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particuliere, la session est 
destinee a verifier I'authenticite d'un message m. Dans le cas d'une 
authentification d'un message m, le dispositif pilote est appele dispositif 
demonstrateur. 

Pour prouver I'authenficite d'un message m, ledit dispositif de controle 
execute les etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {r^, r^, r^y ...}, telle que, pour chaque facteur premier 
Pj, chaque collection comporte un alea r^ entier positif et plus petit que p. . 
II y a autant d'engagements R que de collections d'aleas, 

• etape 2. defis d produits par ledit dispositif controleur et destines 
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au dispositif temoin : 

Les moyens de reception du dispositif de controle re9oivent un jeton T 
calculi et transmis par le dispositif demonstrateur en appliquant une 
fonction de hachage f ayant comme arguments le message m et chaque 
engagement R. 

Le dispositif controleur comporte des premiers moyens de calcul pour 
calculer, apres avoir re9u le jeton T, au moins une collection de d6fis d {dA, 
dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de defis d est 
egal au nombre d' engagements R. Chaque collection {dA, dB, ••.} 
comprend un nombre de defis 6gal au nombre de paires de cles, 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collection de defis d {dA, dB, ...} 
refues du dispositif controleur. II y a autant de reponses D calculees par le 
temoin que d' engagements R et de defis d. 

• etape 4. donnees destinees au dispositif controleur : 

Les moyens de reception du dispositif de controle re9oivent du dispositif 
demonstrateur chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'= GA GB ...D^ mod n 

ou du type : 

R'.. GA . GB '\ ... = mod n 

Le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer un jeton T', en appliquant la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R*. 

Le dispositif controleur comporte des quatriemes moyens de calcul pour 
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comparer et verifier que le jeton T' est identique au jeton T transmis a 
r6tape 2 par le dispositif demonstrateur. 

Cas d'une signature numerique de message 
Cas ou I'exposant de verification v est unique 

Dans le cas de cette variante de realisation particuliere, la session est 
destinee a verifier la signature numerique d'un message m. Dans le cas 
d'une authentification d'un message m, le dispositif pilote est appele 
dispositif de signature. 

Pour prouver la signature numerique du message m, ledit dispositif de 
controle execute les etapes suivantes : 

• etape 1. engagement R du temoin : 

Le dispositif temoin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {r,, r^, r^, ...}, telle que, pour chaque facteur premier 
Pp chaque collection comporte un alea r, entier positif et plus petit que Pj , 
II y a autant d' engagements R que de collections d'aleas. 

• etape 2. defis d destines au dispositif temoin : 

Le dispositif de signature calcule, en appliquant une fonction de hachage f 
ayant conmie arguments le message m et chaque engagement R, au moins 
une collection de defis d {dA, dB, •«} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d est egal au nombre d'engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. . 

Le dispositif de signature transmet les collections de defis d au dispositif 
temoin. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, 
...}. II y a autant de reponses D calculees par le temoin que d'engagements 
R et de defis d. 
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Le dispositif t^moin comporte des moyens de transmission pour transmettre 
les r^ponses D au dispositif de signature et/ou au dispositif controleur. 

* etape 4. donnees destinees au dispositif controleur : 

Les moyens de reception du dispositif de controle re^oivent du dispositif de 
signature un message sign6 comprenant : 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque rdponse D. 

* etape 5, verification par le dispositif controleur : 
Cas ou le dispositif controleur re?oit la collection des defis d 

Dans ce cas, le dispositif controleur re^oit les collections des defis d et des 
reponses D. 

Le dispositif controleur comporte : 

* des premiers moyens de calcul pour calculer a partir de chaque 
reponse D un engagement R' en effectuant des op6rations du type : 

R' = GA . GB . .-D' mod n 

ou du type : 

R' . GA GB mod n 

* des deuxiemes moyens de calcul pour calculer chaque defi d% en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement reconstruit R% 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque defi d^ est identique au defi d figurant dans le message sign6. 

Cas ou le dispositif controleur revolt la collection des engagements R 
Dans ce cas, le dispositif controleur revolt la collection dps engagements R 
et des r6ponses D, 
Le dispositif controleur comporte ; 

* des premiers moyens de calcul pour calculer chaque defi d', en 
appliquant la fonction de hachage f ayant comme arguments le message m 
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et chaque engagement R, 

* des deuxiemes moyens de calcul pour calculer, alors, la collection 
des engagements R' en effectuant des operation du type 

R'= GA GB '\ ...D' mod n 

ou du type : 

R' . GA ' \ GB ' \ ... = mod n 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque engagement R' reconstruit est identique a I'engagement R figurant 
dans le message signe. 

Paire de cles conferant une securite equivalente a la comiaissance de la 

cle privee Q 

La paire des cles GA, QA, ... n'a plus raison d'etre systematiquement 
deduite de I'identite du temoin, coname dans le cas du precede GQ. 
Dans le cas de la variante de realisation ci-apres exposee les composantes 
QAj, QA„ ... (QA,, ...), et QB,, QB„ ... (QB,, ...), des cles privees QA, QB, 
... sont des nombres tires au hasard a raison d'une composante QA., QBj, ... 
pour chacun desdits facteurs premiers p,, lesdites cles privies QA, QB, 
pouvant etre calculees a partir desdites composantes QA^, QA^, ... (QA^, ...), 
et QBj, QBj, ... (QBj, ...), ... par la methode des restes chinois, 
Le dispositif temoin comporte des moyens de calcul pour calculer les cles 
publiques GA, GB, 

• en effectuant des operations du type : 

GA. = QAj'^modp. 

• puis, en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA'modn 

ou bien tel que 

GA.QA'' mod n = 1 
Le nombre d' operations arithmetiques modulo p, a effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun des 
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GAj pour chacun des Pj est reduit par rapport a ce qu'il serait si les 
op6rations etaient effectu^es modulo n. 

De preference, Texposant public de verification v est un nombre premier. 
On pent demontrer que la paire de cles GA, QA confere une securite 
equivalente k la connaissance de la cl6 privee QA. 

Paire de cles conferant une securite equivalente a la connaissance de la 

factorisation de n 

De preference, Texposant public de verification v est du type 

v = a'^ 

ou k est un parametre de securite. 

De preference egalement, Texposant public de verification v est du type 

y = 2' 

ou k est un parametre de s6curite, 

Dans ce cas cle publique GA est un carre gA^ inferieur a n choisi de telle 
sorte que T equation 

= gA mod n 

n*ait pas de racine en x dans Tanneau des entiers modulo n. 
Le dispositif temoin comporte des neuviemes moyens de calcul pour 
calculer les dites composantes QA„ QA^, ... (QAj , ...) de la cle privee QA 
en appliquant des formules telles que : 

GA= QA, mod 

ou bien telles que : 

GA.QAj'^'^'^modp,= l 
et en extrayant la kieme racine carree de GA dans le corps de Galois 
CG(R). 

Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par les 
neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
QAj pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 
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On peut demontrer que la paire de cles GA, QA confere une securite 
equivalente a la connaissance de la factorisation de n. 

De preference, pour extraire la kieme racine carree de GA dans le corps de 
Galois CG(ft), 

* dans le cas ou le facteur premier Pj est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

X = (p+l)/4 ; y = x' mod (p-1) ; z = y ; QA. = OA' mod p. 

* dans le cas ou le facteur premier p, est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

On va maintenant decrire de maniere detaillee la presente invention en 
presentant dans une premiere partie les elements mathematiques utilises, 
puis, en developpant dans une deuxieme partie le precede selon I'invention 
appel6 nouveau procede. 

Premiere partie : elements mathematiques 
1. Congruences 

Dans ce paragraphe, x,y eiz sont des entiers naturels. z n'est pas nul. 

La notation « x^y (mod z) » se lit « x est congru a y (mod z) » ; elle est 

equivalente a « z divise x—y », 

1.1. Proprietes de base des congruences 

Les quatre lois suivantes sont utiles. . 

(Loi A) 

{a^b (mod/w); x^y (mod/w) } 
==> {a±x = b±y (mod 777); ajc^b.y (mod/w) } 

(LoiB) 

{a.x^b.y (modw); a = b (modw); pgcd(a, /w)=l } 
=> {x = y(modm) } 
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(LoiC) 

{a^b (mod/w) } <=> {ajt^bjt (modmjt) } 

(Loi D) 

{a^b (modr-y); pgcd(r,5)=l } {a = 6 (modr); a = 6 (modj) } 

5 1.2. Theoreme de Fermat 

Lorsque p est un nombre premier, a^^a (mod p). 
Demonstration. 

La relation est triviale lorsque a est un multiple de p. 

D6finissons la suite {X} pour un nombre entier a quelconque appartenant k 
10 {1,2, 3, ...p-l}. 

{A^}= { = a. Puis, pour / > 1, = a + x,- (mod /?)} 
Les p-1 premiers tennes sont distincts et non nuls ; ils forment une 
permutation des entiers' de 1 k /t— 1 . 
Calculous le terme pour Tindice /+p : 

15 ^/+p=^/ + /^-^ = ^z (mod/?) 

Par consequent, la suite {X] est periodique et sa periode est p. 

Selonlaloi A, a,2a3a. ... (p— 1)^ = 1.2.3. ...(p-l) (mod p) 

Selon la loi B, a^'^ = 1 (mod p) 

Selon la loi A, (mod p) 

20 1.3. Theoreme d'Euler 

Lorsque a et n sont premiers entre eux, a^^"^ = 1 (mod w). 

La fonction d'Euler est notee par cp(n). C'est le nombre d'entiers positifs 

inferieurs a n et premiers avec n. 

=> Lorsque n est un nombre premier p, (p(p) = p-1 . 
25 =^ Lorsque n est le produit de deux nombres premiers distincts Pj et p^. 

=>(p(n) = (p,-l) .(p^-1). 

Lorsque la factorisation de n est p^. p/ . p3^ 

(p(n)/n = (1-1/p.) . (1-1/p,) . (I-I/P3) . ... 

1.4. Structure du corps de Galois CG(p) 
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Soit un nombre premier impair p. Soit un nombre entier positif a inferieur a 
p. D6finissons la suite {X}. 

{X}-{xi = a. Puis, pour / > 1, = a.jc/ (mod p)} 
Calculous le terme pour I'indice /+p et utilisons le theoreme de Fermat. 

= a^.Xi = a.xi ^ x,+i (mod p) 
Par consequent, la periode de la suite [X] est inferieure ou egale a p-1 et 
elle divise p-1. Cette periode depend de la valeur de a. Par definition, cette 
periode est appelee « le rang de a (mod p) ». 

^rang(a.p) - 1 (^od p) 

Les elements de CG(p) ay ant pour rang p-l sont appeles les « elements 
generateurs de CG(p). » La denomination est due au fait que leurs 
puissances successives dans CG(p), c'est-a-dire, les termes de la suite {X} 
pour les indices de 1 a /?— 1, forment une permutation de tous les elements 
non nuls de CG(p). 

Soit un element generateur a de CG(p). Evaluons le rang de I'element a 
(mod p) : ce rang s'exprime simplement en fonction de i et de /?— 1. 
=> Lorsque i est premier avec p— 1, c*est p-l. 

Lorsque i divise p-l, c'est (p— l)/i. 
=> Dans tous les cas, c'est (p-l)/pgcd(p-l, /)• 

Par consequent, dans le corps CG(p), il y a (p(p-l) elements generateurs ou 
(p est la fonction d'Euler. 

Par exemple, lorsque (p-l)/2 est un nombre premier impair p\ il y a p'-l 

elements generateurs, a savoir, 

=> un seul element de rang 1 : c'est 1, 

=> un seul element de rang 2 : c'est -1, ^ 

p -1 elements de rangp', 
=^ p -1 elements de rang 2.p'; ce sont les elements generateurs. 
1.4.1. Fonction exponentielle sur CG(p) 

Lorsque p est un nombre premier impair et que a est un element generateiu- 
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de CG(p), la transformation « elever a a la puissance x ieme (mod p) » 
permute les Elements non nuls de CG(p). La permutation inverse est definie 
par « prendre le logarithme discret de y en base a dans CG(p) ». 
Lorsque a est un element gen6rateur de CG(p), 

xh-¥y = a^ (mod p) <=> x = log^(y) dansCG(/7) 
1.4.2. Fonction puissance sur CG(p) 

Lorsque p est un nombre premier impair et que v est premier avec p-l, la 
transformation « elever x a fa puissance v ieme (mod p) » respecte le rang 
des elements. EUe permute les elements de CG(p). La permutation inverse 
est definie par une autre transformation « elever y a une puissance s ieme 
(mod p) » ou p-l divise v.s-1. On dit que Texposant s est « inverse de 
I'exposant v (mod p-l). » 

x\-^ y = x^ (mod p) <=> y\~^ x^y^ (mod p) 
1.5. Fonction de Carmichael 

La fonction de Carmichael de n est notee par X(n). C'est la valeur maximale 
du rang (mod n), 

Lorsque n est le produit de deux nombres premiers impairs p, et p^, 

Xin) = ppcm(p, -1 , P2-I ). 

Lorsque a et b sont premiers entre eux, X{a,b) = ppcm(X(a), \{by), 
=:»Pour les puissances d'un nombre premier impair /?, A,(p*) = p''\ 
=>Pour les puissances de 2, X(2) = 1 ; X(4) = 2; X(20 = 2''^. 
=>Dans tous les cas, X(n) divise cp(w). L'egalite n'intervient que lorsque n 
est premier. 

L6. Residus quadratiques 

Considerons T equation jc^ = c (mod n) ou rentier positif c est inferieur a n et 
premier avec n. 

• Lorsque T equation a des solutions en jc, on dit que c est un residu 
quadratique (mod n). 

• Lorsque I'equation n'a pas de solution, on dit que c est un residu non 
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quadratique (mod n). 
L' ensemble des residus quadratiques (mod n) foraie un groupe (mod n) 
pour la multiplication. En effet, le produit de deux residus quadratiques 
(mod rt) est un residu quadratique (mod n). En outre, le produit d*un residu 
quadratique (mod n) par un residu non quadratique (mod n) est un residu 
non quadratique (mod «). 

Lorsque n est un nombre premier impair /?, chaque residu quadratique (mod 
p) a exactement deux racines carrees dans CG(p). En effet, soit un element 
generateur a de CG(p) : a (mod p) est un residu quadratique si et seulement 
si i est pair ; ses racines sont alors ±a^ (mod p). Les elements x et p-jc ont le 
meme carre. 

Remarque. Dans CG(p), lorsque (p-l)/2 est un nombre premier impair p\ 
les residus quadratiques (mod p) sont les p'-l elements de rang p' 
completes par Telement de rang 1, c'est-a-dire, 1. 
1.7. Symboles de Legendre et de Jacobi 

Lorsque /? est un nombre premier, on peut classer les entiers positifs en 
deux categories : les multiples de p et les nombres premiers avec p. En 
outre, les nombres premiers avec p se classent eux-memes en deux 
categories : les residus quadratiques (mod p) et les residus non quadratiques 
(modp). 

Legendre a introduit un symbole special note par (c | p). Le symbole de 
Legendre de rentier positif c par rapport au nombre premier p prend les 
valeurs +1,-1 et 0. 

* (^^ I p) = 0 lorsque c est un multiple do p. 

* (c I p) = +1 lorsque c est un residu quadratique (mod p). 

* (c I p) = -1 lorsque c est un residu non quadratique (mod p). 

La formule suivante etablie par Euler permet de calculer le symbole de 
Legendre (en assimilant tout naturellement les valeurs -1 et p-1) ; cette 
formule est encore appelee le « critere d' Euler. » 
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(c I p) = c^'^(modp) 
Le symbole de Jacobi gen6ralise le symbole de Legendre. Les deux 
symboles sont not6s de la meme maniere. Connaissant la factorisation de 
rentier impair n, la formule suivante definit le symbole de Jacobi par 
rapport ana partir du symbole de Legendre par rapport a chaque facteur 
premier de n. 

Si n = p,"", p/... , alors (c I n) = (c | pX-i^ I Pif - 
En d'autres termes, si a et sont des entiers positifs impairs premiers avec c 
etc\ 

(c \ a.b) = {c \ a).(c \ b) et (c \ a) . (c' | a)= (c\ c \ a) 
Attention, residus quadratiques et elements avec symbole de Jacobi egal a 
-f 1 ne coincident pas. 

* Tons les residus quadratiques (mod n) ont un symbole de Jacobi egal a +1. 

* La valeur -1 du symbole de Jacobi caracterise exclusivement des residus 
non quadratiques (mod n). 

* Lorsque n n'est pas premier, il y a des residus non quadratiques dont le 
symbole de Jacobi vaut +1 . 

La loi de reciprocite quadratique lie les symboles de Jacobi (m I n) et 
(n I m) ou m et n sont deux entiers positifs impairs : Legendre et Euler 
connaissaient cette loi ; Gauss Ta demontree. 

(m I nUn \ m) = (-l)'"-'> '"-"^ 
En d'autres termes, le signe change quand m et n sont tous deux congrus a 3 
(mod 4). 

Notons la relation : (-1 1 n) = (-1)^""*^ 

En d' au tres termes , 

-1 est un residu quadratique mod n lorsque n est congru a 1 mod 4 ; 
-1 est un residu non quadratique mod n lorsque n est congru a 3 mod 4 ; 
Notons enfm la relation : (2 I n) = (^l)(''^-i>^8 

En d'autres termes. 
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±2 sont des r6sidus non quadratiques (mod n) lorsque n est congm k 3 ou 5 
(mod 8) ; 

±2 sont des residus quadratiques (mod n) lorsque n est congru a 1 ou 7 
(modS). 

1.8. Suites de Lucas 

Considerons I' equation du second degre : les coefficients 5 et P sont 
respectivement la somme et le produit des racines aret p, lesquelles racines 
sont distinctes lorsque le discriminant A n'est pas nul. 

(.x-a).{x- P) = x^ -{a+ /3).x +a./3 = -S.x + P 

"~S~^ P 
A = S^-4.P = ia-/3f :!to 
Les suites de Lucas {U} et {V} sont definies comme suit : les paramdtres S 
et P sont deux entiers non nuls tels que soit different de 4.P ; chaque 
terme est entier parce que les valeurs initiales sont entieres. 

P }= {mq =0; Ml = 1 . Puis, pour / > 0, m,+2 = -S-Wz+i - } 
{^}= {vq =2; vj = S. Puis, pour i > 0, v,+2 = S.v^+i - P.v, } 

Les deux suites admettent la meme equation caracteristique evoquee ci- 

dessus: jc^ - .Sjc + P = 0. 

Supposons les expressions suivantes vraies pour les indices i et i+l. 

a' -6' 

On verifie alors simplement que les expressions sont encore vraies pour 
Tindice /+2. Or, elles sont vraies pour les indices 0 et i; Par recurrence, 
eiles sont done vraies pour tout indice / positif ou nul. 

Par la suite, on utilisera egalement les relations suivantes. Leur 
demonstration est triviale. 

v?-A.M?=4.P' 

Pour doubler Tindice, 

Pour retrancher un a Tindice, 
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= (SMi - V,) / 2.P et v,_i = (.S.v,- - A.M,) / 2./' 
Pour aj outer un a Tindice, 

Ui+i=iS.Ui+Vi)/2 et v,-+i =(S'.v,-+A.M,)/2 
Par ailleurs, les racines a et yff s'expriment facilement en fonction de 
S = a + fi etde -fK = a-0. 

a = (5 + VA)/2 et /0 = (5-Va)/2 

Les expressions de u. et v. en fonction des racines a&X P s'6crivent encore : 



M, = 



s+4a 

2.Va 



2.7a 



et V; = 



S-yfA 



D6veloppons les polynSmes (5 + Va)^ *"^* et (.S" - Va)^ *"^^ et combinons 
leurs ddveloppements. 



2".V2.*.,=S"*'+cL,,.S'^-*->.A + 



.1 



2,k 



.5 



.„ C 



2.it+l 



C 2.^-2 I c 



2.k 



1,8.1. Suites de Lucas sur le corps CG(p) 

Lorsque p est un nombre premier impair, p divise les coefficients du 
binomeC'pPOur i allant de 1 a/7-1. 

En d'autres termes, il ne reste alors qu'un seul terme dans chacune deis deux 
expressions ci-dessus. 

2P'\u^ =A^^-^^^^ (mod /?), c'est-a-dire, =(A| p) (mod p) 
2^'\v^=S^ (modpX c'est-a-dire, v^=5(mod;?)^ 
Lorsque (A | j?) = +1, = 1 (mod p) ei =S (mod p) 

Dans ce cas, 

w^.i =(5.w^ ^v^)/2.p = 0 (mod/?) 
v^-i = (^-Vp - A.w^)/ 2./> = 2 (mod /?) 
Lorsque A est un r^sidu quadratique par rapport a un nombre premier impair 
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p ne divisant ni ni 5, ni A, les suites de Lucas pour les indices p—loip 
sur le corps CG(p) sont exactement dans Tetat initial, c'est-a-dire, Tetat 
pour les indices 0 et 1. La periode des suites de Lucas sur CG(p) divise 
alors p—l. 

Lorsque (A ] p) = -1, = -I (mod /;) et v^=S (mod p) 
Dans ce cas, 

w^+i = (Sm^ +v^)/2 = 0 (mod p) 
v^+i = (S7v^ + A.M^)/2 = 2.P (mod p) 

Puis, 

= (Sm^^i + v^+i)/2 = P (mod p) 
= (^-^p+i + A.w^^i)/2 = 5./^ (mod p) 
Lorsque A est un residu non quadratique par rapport a un nombre premier 
impair p ne divisant ni i', ni 5, ni A, les suites de Lucas pour les indices p+\ 
eip+2 sur le corps CG(p) sont dans Tetat initial multiplie par P. Lorsque P 
est egal a 1, la periode des suites de Lucas sur CG(p) divise alors p+l. 
C'est ainsi que Lucas a decouvert et etablit le theoreme suivant : 
Lorsque p est un nombre premier impair ne divisant ni P, ni 5, ni A, p divise 
«-(A |;7)etM^,,^^. 
1.9. Racines carrees dans CG(p) 
1.9-1. Cas ou p est congru a 1 (mod 4) 

Lorsque p est congru a 1 (mod 4), on utilise les suites de Lucas pour 
calculer une racine carree de c (mod /?). On affecte la valeur c au parametre 
P. Puis, on cherche une valeur du parametre S telle que le discriminant A = 
5^ - 4,c soit un residu non quadratique (mod p). 

Lorsque A est un residu non quadratique par rapport a un nombre premier p 
impair ne divisant ni c, ni 5, ni A, les suites de Lucas pour les indices p+l et 
p+2 sur le corps CG(p) sont dans Tetat initial multiplie par c. 
Or, on connait les relations suivantes : vf — A.wf = 4.P' et U2 = «/ .v. 
En d'autres termes, p divise alors u^^ qui est egal au produit de u par 




^(p+i)/2' consequent, p divise alors u^^^^^ ou v^,j^. En fait, p ne peut diviser 
Vi)/2;ildivisedoncM^,,^. 

On obtient done, vf^+i) / 2 = 4.0^^"^^^ ^ ^ (mod /?) 

Or, c^^-'^^^^sc (modp) 

5 Par consequent, le nombre : ^=~V(p+i)/2 (mod /?) est alors une 

solution a Tequation : = c (mod p). 

I.9.2. Cas ou p est congru a 3 (mod 4) 

Selon le critere d'Euler, on a : 

^{p~i)i2 (j^^j cequidonne, c^p^^^^^ =c (mod p). 
10 Lorsque le nombre premier p est congru k 3 (mod 4), le nombre (p+l)/4 est 

entier ; par consequent, les racines carrees de c dans CG(p) sont alors 

±c(^^^^^^ (modp). . 

2. Quelques methodes de calcul pratique 

2.1. Algorithme d'EucUde 
IS 2.1.1. Coefficients de Bezout et pgcd 

Par definition, les coefficients de Bezout de deux entiers positifs ;c et y sont 

deux entiers k et / definis de maniere unique par : 

0<k<y, 0<l<x et ^.jc - /.j = ±pgcd(x,.y) 

L' algorithme de division d'Euclide calcule les coefficients de Bezout de 
20 deux entiers positifs et leur plus grand commun diviseur. 

Soient deux entiers positifs :c et 3; tels que x soit plus grand que y, Divisons x 

par y a la maniere d'Euclide pour obtenir un quotient q positif et inferieur 

ou egal a a: et un reste r positif ou nul et inferieur a y. 

Soit, 0<y<x 

25 Par consequent, x = q.y + r avec 0<^<jc et 0<r<>' 

A partir des valeurs initiales = x et Cj = y, considerons les divisions 
successives : 

^0 ■*"^2» Q=92-^2*^^3> 
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jusqu'a : Q.j = ^^.Q + ou Q+i = 0. 
Les quotients successifs forment la suite {q} qui est ainsi d^finie pour les 
indices i allant de 1 a L. 

Les Testes successifs forment la suite {C} qui est ainsi definie pour les 
indices / allant de 0 a L+1. La suite {C} est strictement decroissante de Q 
jusqu'a Q^, qui est nuL 

La suite { C] peut encore se definir de la maniere suivante. 

{C}= {Cq=x; Ci= y; puis, pour / allant de 1 a Z, Q+j = C, _2 - .Q } 
Definissons maintenant deux autres suites appelees {A} ct {B}. 

{a}= {Aq^I; Ai= 0; puis, pour / allant de 1 a Z, Aj^i = A^^i + q^ .A^ } 

{b}= {5o = 0; 5i = 1; puis, pour / allant de 1 a Z, = B^^y + q^^B^ } 
Les premiers termes de la suite {A} sont 

i4,= 1,A, = 0,A,= 1, A3 = g,,i44= 1 +^2.^3, ... 
=> La suite {A } est strictement croissante de A3 a A^^j. 
Les premiers termes suivants de la suite [B] sont 

fl, = 0, fl, = 1 , 5, = ^„ ^3 = 1 + , ... 

La suite {5} est strictement croissante de B^ a jB^^,. 
En eliminant q, entre les definitions des suites {A} et {C}, nous obtenons : 

Par consequent, la valeur de ^/-C^+i + ^st constante pour i allant de 

Puisque + ^1 -^o ^^^^ obtenons : ^i+i-^z'^J^' 

Et, de la meme maniere, ^z+i-^i = ^• 

Par ailleurs, remarquons les egalites : x.Aq -y.BQ = x = (-l)^.Co 

x.A^-y,B^=^y = (-l)Kc^ 
Supposons la relation vraie pour les indices i-1 et / ; puis, verifions qu'elle 
est vraie pour 1 ' indice z+ 1 . 
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Par recurrence, pour / allant del kL, x.A^ - y.Bi = (-1)' .C,- 
En particulier, on obtient finalement : x.Ai - y^B^ = (-1)^ .C^ 
Les coefficients de Bezout de jc et y sont egaux a et B^. 
Le plus grand commun diviseur de jc et y est egal a C^. 
Exemple. Calculer les coefficients de Bezout de 10 103 et 63 659. 
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Les calculs sont plus simples que les explications. 

23 320 . 10 103 = 235 601 960 3 701 . 63 659 = 235 601 959 

23 320.10 103-3 701.63 659 = 1 
2.1.2. Inversion (mod n) 

L'algorithme d'Euclide calcule aussi Tinverse (mod jc). Bien entendu, la 
suite {A } est alors inutile. Lorsque y est positif, que x est plus grand que y et 
que X ei y sont premiers entre eux, c'est-a-dire, C^=pgcd(jc, = 1, les 
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notations « y'^ (mod x) » et « l/y (mod x) » ont un sens. 

Lorsque L est impair, T inverse de y (mod jc) est egal a 5^. 

Lorsque L est pair, T inverse de y (mod jc) est egal kx — B^, 

Dans I'exemple ci-dessus, 23 320 est Tinverse de 10 103 (mod 63 659). 

2.2. Charge de travail et methode des restes chinois 

La charge de travail pour « elever jc a la puissance v ieme (mod n) » 

depend de la valeur et de la forme binaire de Texposant v, de la taille de 

r argument x et de la taille du module n. Dans le cadre de ce memoire, 

I'exposant v est plus petit que le plus petit facteur premier du module n, 

L*utilisation des facteurs premiers Pj, p^, ... d'un module n diminue la 

charge de travail pour calculer (modn). Plutot que Toperation directe 

« elever jc a la puissance v ieme (mod n) », on peut avantageusement elever 

JC a la puissance v ieme dans chacun des corps CG(p,), CG(p^), ... c'est-a- 

dire, (mod p^X (mod p^), ... puis, etablir le resultat dans Tanneau Z^, c'est-a- 

dire, (mod n = p^ fois p^ fois ...). Cette maniere de proceder est appelee la 

« methode des restes chinois. » 

2.2.I. Multiplication et carre (mod n) 

En pratique, avec des progranunes optimises, le rapport entre la charge de 
travail pour un « carre modulo » et la charge de travail pour une 
« multiplication modulo » est environ 0,75. Par exemple, sur le composant 
ST 16601 pour carte a puce, avec une horloge normalisee a 3,579545 MHz, 
le carre modulo pour 512 bits se fait en 150 ms et la multiplication modulo 
en 200 ms. 

Pour effectuer une operation « multiplication modulo », on peut multiplier, 
puis, reduire : 1' operation de multiplication demande^a peu pres autant 
d'effort que I'operation de reduction modulo. 

La multiplication de deux nombres de 512 bits peut se ramener k des 
multiplications de nombres de 256 bits. Chaque nombre de 512 bits s'ecrit 
alors a+2^^.b oil a et b sont des nombres de 256 bits. La multiplication de 
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a¥i!^^,h par c+2^^c/ amene a calculer les quatre produits a.c, a.rf, h.c et h,d. 
En doublant la longueur, on multiplie par quatre la charge de travail pour 
multiplier. Le carre de a+2^^i? amene a calculer les deux carr6s cl^ et le 
produit a.b. En doublant la longueur, on multiplie par trois la charge de 
travail pour dlever au carre. 

De meme, la multiplication de deux nombres de 512 bits pent se ramener a 
des multiplications de nombres de 171 bits. Chaque nombre de 512 bits 
s'ecrit alors a+2'^^Z?+2^'*^c ou a, Z> et c sont des nombres de 171 bits. La 
multiplication de a-i-2"*.6+2^^\c par ^;+2"*.e+2^'*\/ amene a calculer neuf. En 
doublant la longueur, on multiplie par neuf la charge de travail pour 
multiplier. Le carre de ^+2"*.frH-2^^lc amene a calculer trois carres et trois 
produits. En doublant la longueur, on multiplie par six la charge de travail 
pour elever au carre. 

2.2.2. Elever x a la puissance v feme (mod n) 

Prenons en exemple la valeur v = 3, puis, la valeur v = 65537. 

Pour V = 3, c*est-a-dire, 2+1, il faut elever T argument au carre (mod n), 

puis, multiplier le resultat par 1' argument (mod n). 

Pour V = 65 537, c'est-a-dire, 2*Vl, il faut elever T argument au carre 
(modn) seize fois de rang, puis, multiplier le resultat par Targument 
(mod n). 

2.2.3, Methode des restes chinois 

Lorsque x et y sont deux entiers positifs premiers entre eux, les calculs 
suivants transforment une representation a une composante (mod x.y) en 
une representation a deux composantes (mod x) et (mod y). 

= a^^ (mod x) et = a^^ (mod y) 
Voyons maintenant comment realiser Toperation inverse, c'est-a-dire, 
conunent calculer la representation a une composante (mod x.y) connaissant 
la representation a deux composantes (mod jc) et (mod y). La technique 
decrite ci-dessous est connue comme la « methode des restes chinois. » 
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Supposons X plus grand que y. Tout d'abord, reduisons x (mod y), puis, 
inversons le resultat (mod y). 

A= {x (mod y) (mod 3;) 
Ensuite, reduisons la composante (mod y). 

a'^ = a^(mod y) 

Le resultat cherche s'obtient alors par Tune des deux formulas suivantes. 
Lorsque est superieur ou egal a a \^ 

^x.y ^ • K "^'x) (mody)}. X + 
Lorsque est inf6rieur a 

«xy= i^'i^y-^y -a'J(mody)}.x+a^ 
Dans le cadre de ce m^moire, Texposant v est plus petit que le plus petit 
facteur premier du module n. II n'y a done pas done de reduction de 
Texposant v en fonction des differents facteurs premiers du module n. Par 
rapport au calcul direct de « elever jc a la puissance v ieme (mod n) » ou 
Targument x et le module n ont la meme taille, la methode des restes 
chinois divise la charge de travail 

- par deux lorsque le module n a deux facteurs premiers et de meme 
taille, 

- par trois lorsque le module n a trois facteurs premiers PpP^ P3 meme 
taille, 

et ainsi de suite. 

On pent generaliser la methode precedente ; ainsi, la procedure suivante 
calcule Jc'' (mod n) pour un exposant v = 2' + v,_i.2'"' + ... V1.2 + vq ou chaque bit 
de v^j a vaut 0 ou L 

1 . Donner kyla valeur jc. 

2. Repeter la sequence suivante pour k allant de /-I a 0. 

Remplacer y par y^ (mod n). 

Si le bit vaut 1, remplacer y par x.y (mod n). 

3. Le resultat cherche est y. 
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Selon la procedure precedente, le calcul peut se faire par log^Cv) carres (mod 
n) entrelac6s avec h(v) multiplications (mod n). La notation h(v) repr^sente 
un de moins que le poids de Hamming de v, c'est-k-dire, que Tecriture de v 
en binaire comporte h(v)+l bits a 1. 

Pour un module n de 512 bits, cela signifie log2(v) carres (mod n sur 512 
bits) et h(v) multiplications (mod n sur 512 bits). 

Pour un module n de 256 bits, cela signifie log2(v) carres (mod n sur 256 
bits) et h(v) multiplications (mod n sur 256 bits). 

Pour un module n de 171 bits, cela signifie log2(v) carres (modn sur 171 
bits) et h(v) multiplications (mod n sur 171 bits). 
23. Calcul du symbole de Jacob! 

Le calcul du symbole de Jacobi d'un entier positif k par rapport a un entier 
positif impair n plus grand que k se deroule selon la procedure suivante qui 
utilise cinq variables appelee jc, y, z, e et J. Cette procedure n'utilise pas la 
decomposition de n en facteurs premiers. 

• La variable x est positive et impaire, strictement decroissante a partir 
de la valeur initiale n. 

• La variable y est positive et inferieure a jc, strictement decroissante a 
partir de la valeur initiale L 

• La variable z est positive, impaire et inferieure a y. 

• La variable e est Texposant du facteur 2 extrait de y. Seule sa parite 
doit etre evaluee. 

• La variable J vaut +1 ou -1 en partant de la valeur initiale +1 . 
Calcul pratique de (k \ n) avec k positif et n impair et plus grand que k 

L Donner a jc la valeur n ; donner a y la valeur k ; donner a J la 
valeur -hi. 

2. Decomposer y en 2.2*" ou z est impair et positif et e positif ou nul. 
(y I JC) = (z. r U) = (Z U) . (2 I JC)' 
=> Si e est impair et si jc = 3 ou 5 (mod 8), changer le signe de /. 
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3. Appliquer la loi de reciprocite quadratique sur z et x qui sont tous 
deux impairs. 

(z U) = (X U) . (-ir^> ^''^ 

=> Si jc et z = 3 (mod 4), changer le signe de J. 

4. Reduire x qui est toujours plus grand que z. 
=^ Remplacery par jc(modz). 

Remplacer jcparz. 

5. Si X est plus grand que 1, revenir a I'etape 2. 

Si X est egal a 1, alors le symbole de Jacobi vaut 7 et * et n sont 
premiers entre eux. 

Si X est nul, alors le symbole de Jacobi est nul et le pgcd dokctn 
est egal a z. 

Example. Calculer (10 103 | 63 659), c'est-a-dire, (2777 | F8AB) en 
notation hexadecimale. 

On retrouve les divisions successives de ralgorithme d'Euclide et le calcul 
du pgcd. Le decalage de ligne materialise rextraction du facteur 2. Le 
symbole « * » materialise le changement de signe de 7. 
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Par consequent, (10 103 1 63 659) = -1. 
2.4. Racines carrees sur le corps CG(p) 

Lorsque c^'^ (mod p) vaut +1, Tequation x = c (mod p) a deux solutions 
dans le corps de Galois CG(p) ; ces deux solutions sont appelees « racines 
carrees de c (mod p) ». 

2.4.1. Cas ou le nombre premier p est de la forme 4.1+3 

Ce cas est simple. Lorsque p est congru a 3 (mod 4), (p+l)/4 est un nombre 
entier ; les deux racines carrees de c (mod p) sont alors x = ±c^^^'^ (modp). 

2.4.2. Cas ou le nombre premier p est de la forme 4.i+l 

II faut d'abord trouver une valeur convenable du parametre 5, c*est-a-dire, 

une valeur telle que A = 5^-4.c soit un residu non quadratique (mod p). On 

ne connait pas d' autre fa9on de proceder que par essais successifs. En 

pratique, on part de 5 = 1, puis, on fait croitre la valeur de 5, 

Puis, les relations suivantes sont utilisees pour calculer les suites [U] tt { V} 

ensemble. 

Pour doubler Tindice, W2./ = ^i-^h ^2.i = ^? ""^-c' 

Pour ajouter 1 a F indice, w,+i = (Sm,- v,.)/2; v,.+i = (A.w,- + 5.v, )/2 

La procedure utilise trois variables : x pour m., y pour v.et z pour c . L'indice 
cible est (p+l)/2 ; il est code par une sequence dey bits. Cette sequence est 
examinee du bit de poids fort au bit de poids faible. 

1. Donner a a: la valeur 0 ; donner a y la valeur 2 ; donner a z la 
valeur 1 . 

2. Repeter j fois la sequence suivante. 

Remplacer x par x.y (mod p). 
Remplacer y par / - 2.z (mod p) 
Remplacer z par z^ (mod p). 
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Si le j ieme bit codant Tindice cible vaut 1, executer la 
sequence suivante. 

Remplacer t par x. 
Remplacer x par {S.t + y)l2 (mod p). 
Remplacer >^ par (5./ + A.y;/2 (mod /?) 
Remplacer z par z.c (mod /?). 
3. Remplacer y par y2 (mod p), Le resultat cherche est y. 
2.5. Carre et racine carree dans 

Dans ce paragraphe, le module n est le produit de deux facteurs premiers 
et p^ congrus a 3 (mod 4). Dans ce cas, (p,+l)/4 et (p,+l)/4 sont des 
nombres entiers. 

Definissons la notation « (mod* n) ». Cette operation consiste a calculer 
normalement le resultat x (mod n), puis, a garder x ou n-jc, le plus petit des 
deux, comme resultat final. 

Lorsque le module n est le produit de deux facteurs premiers et p^ 
congrus a 3 (mod 4), definissons la notation « ». C'est Tensemble des 
elements de Tanneau des entiers (mod n) qui sont plus petits que n/2 et dont 
le symbole de Jacobi par rapport a n vaut +1. L'ensemble a une structure 
d*anneau. 

Considerons une premiere transformation definie par « elever un element x 
de Q„ au carre (mod* n) ». Le resultat y appartient egalement a Q^. 

y = x^(mod*w) 

Considerons une deuxieme transformation definie par « elever y a la 
puissance (p,-hl)/4 (mod /?,) », puis, « elever y a la puissance (p2+l)/4 
(mod/?^) », avant d'utiliser la methode des restes chinois pour etablir le 
resultat z (mod* n). Lorsque est plus petit que p^, les calculs sont tres 
precisement les suivants. 

yi=y (mod p^ ); s yf^i ^^^^"^ (mod p^ ) 
y2 =y (mod/72); ^2 = j^^^2+i)/4 ^^^^ 
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z'=Z2 (mod/?i); Si Zi>z\ z"=Zi-z\ Sinon, z"=Zi + pi-2' 
A = {p2 (modpi)}"^ (modpi); 

(mod Pi)}/?2+^2; ^-^1.2 (mod*«) 
Ces deux transformations sont inverses I'une de Tautre. Leur produit est 
ridentite parce que le resultat z retablit le nombre x de depart. Ce sont deux 
permutations, inverses Tune de I'autre, des elements de Q„. 
La premiere permutation calcule « le carre y dans Q„ de Telement x de 

La deuxieme transformation calcule done « la racine carree x dans Q„ de 
I'elementydeQ^ ». 

Par la suite, on aura besoin de la « k ieme racine carree de y dans Q^, » 
c'est-a-dire, de la solution x dans a I'equation : 

y = x (mod*w) 

PlutSt que d'extraire k racines carrees de rang dans Q„, il vaut mieux 
proceder « globalement » de la maniere suivante. Cette remarque fut faite 
en son temps par Oded Goldreich. 

=jK(mod/7i); z = (pi+l)/4; / = z^ (modpi-1); x^=y{ (modpi) 
y2 = y(modp2)\ z = (/72+l)/4; ^ = (mod P2 "1); ^2=>'2 (modp2) 

x'sx2 (mod/7i); Si xi>x\ x"=xi-x'; Sinon, x"=xi + /7i -x' 
A={p2 (mod pi)}"^ (modpi); 
xi 2 = {^ x" (mod )}/?2 + ^2 ; ^ = ^1,2 0^^^ * ^) 
2.6. Nombres de Williams et Racine carree de 4 dans Q„ 
Hugh C. Williams a decouvert I'interet cryptographique des modules n, 
produits de deux facteurs premiers et tels que soit congru a 3 (mod 
8) et a 7 (mod 8). 

Lorsque le module n est le produit de deux facteurs premiers etp^ tels que 
soit congru a 3 (mod 8) et a 7 (mod 8), on obtient (2 | p,) = -1 et (2 | 
p^) = +1, c'est-a-dire que 2 est un residu non quadratique (modpj) et un 
residu quadratique (mod p^) ; done, ni 2 (mod n), ni -2 (mod n) 
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n'appaitiennent a Q^. 

Par la suite, a denotera la racine carree de 4 dans Q,. Cette racine est 
representee par les composantes : a, = -2 (mod et ajS2(mod p^) ou 
bien par a, = 2 (mod et ci^=-2(mod p^) ; c'est Telement dont la 
representation (mod n) est plus petite que n/2. 
II y a alors equivalence entre 

la connaissance du nombre aet 

la connaissance de la factorisation du module n. 
Demonstration. 

D*une part, etant donne a, le module n divise dt-A ; mais le symbole de 
Jacobi de a par rapport a n vaut +1 alors que celui de 2 vaut -1 ; le module 
n ne divise done ni a-2, ni a+2. Par consequent, le facteur premier p^ est le 
plus grand commun diViseur de n et a-2 ; le facteur premier est le plus 
grand commun diviseur de n et a+2. 

D' autre part, etant donnes les facteurs premiers et p^, la racine carree de 4 
dans est representee par les composantes : a, = -2 (mod et Oj s 2 
(mod p^, ou bien, a, = 2 (mod p,) et = -2 (mod p,). Selon les restes 
chinois, on reconstruit a. 

Shafi Goldwasser, Silvio Micali et Ronald Rivest ont introduit la paire de 
fonctions {F^ ; F J sur Q^. 

Fo(^) = X (mod* n) et F,(;c) = 4 jc' (mod* n) 
Cette paire de fonctions permute les elements de Q^. 

Une « collision » est defmie par deux elements jc et y de tels que Vp:) = 
F,(y). Connaitre une collision equivaut a connaitre les facteurs premiers du 
module n. La demonstration est semblable a la demonstration ci-dessus. Par 
consequent, cette paire de pemiutations resiste aux collisions pour qui ne 
connait pas les facteurs prenriiers p^ et p^ du module /i. 

Nous disposons done de tons les ingredients necessaires a une 
demonstration de la connaissance de la factorisation d'un module public n 
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sans en transferer la connaissance, 

Deuxieme partie : nouveau precede 
1. Expose du nouveau proced^ 

Le proc6de est destine k prouver rorigine et rintegrit6 d'un message 

num6rique m, lequel message peut etre vide. Ce precede permet 

rauthentification d'entit6, rauthentification de message ou la signature de 

message. 

1.1. Parametres 

Le precede met en uuvre un premier ensemble de nombres entiers, a savoir, 
au moins deux facteurs premiers notes par p^ ... Certains facteurs 

premiers peuvent apparaitre plusieurs fois. Le produit des facteurs premiers 
forme un module public n—p^,p^{. p^ ...). 

un jeu de « parametres des restes chinois » notes ./l^ \ .... II y a un 
parametre de moins que de facteurs premiers. 

Attention, il y a plusieurs jeux de parametres « equivalents. »Supposons 
que 

les grands nombres premiers sont ranges dans I'ordre croissant, 
s'il y a trois nombres premiers, p^ est plus petit que /?, fois p^, 
s'il y a quatre nombres premiers, p^ est plus petit que p^ fois p^ fois p^ 
et ainsi de suite. 

Dans ce cas, voici un exemple de jeu de parametres des restes chinois. 

Xa^{P2<J^^^Pi)y^ i^^^Pi) 
h ^((Pi'Pi (mod P3))"^ (mod p^) 
K -iiPi'Pi'Pz (naod /?4))"^ (mod p^) 
Et ainsi de suite. 

Le precede met en uuvre un deuxieme ensemble de nombres entiers, a 
savoir, au moins un exposant public de verification not6 par v, et, pour 
chaque exposant v, au moins ime paire de cles selon la presente invention 
comprenant une c\€ pnvee notee par Q et une cle publique notee par G. Une 
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des deux relations suivantes lie chaque paire de cles selon la presente 
invention par les nombres v et n. 

G.Q^ = 1 (mod ri) ou bien G^Q"" (mod n) 

En r absence de toute ambigui'te, en particulier, s'il y a un seul exposant 
public de verification v, on utilise la notation (G, Q), puis, si besoins est, 
(GA, QA\ {GB, QB\ (GC. QO, ... 

Avec plusieurs exposants publics de verification vx vy vz on utilise en 
outre la notation (Gx, Qx), (Gy, Qy), puis, si besoins est, (GxA, QxA), 
(GxB, QxB\ ... {GyA, QyA\ (GyB, QyB), 

En pratique, chaque cle privee Q n'est jamais utilisee telle quelle. 

On utilise uniquement un jeu de composantes une 
composante par facteur premier. 

Qi^Q (mod 02 = S (mod P2)\ Qz^Q (mod p^)\ 

et ainsi de suite. 

Par la methode des restes chinois, on pourrait retablir chaque cle privee Q a 
partir du jeu de composantes En pratique, il n'y a jamais lieu 

de retablir les cles privees Q. 

Qa =Q2 (mod/?i); 

Si Ql>Qa. Qa^Qx-Qa. Sinon, ea = a+A-ea; 
^1,2 = K Qa (mod Pi )}/?2 + ^2 ; 

Qb ^Qia (modp3); 

Qh2.3=]^b'Qb (mod P3)ip\'P2'^Ql2'^ 

Et ainsi de suite. Q est egal a ^1,2,3, 
1.1.1. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la cle privee Q 

Les composantes ... sont des nombres pris au hasard tels que 

0 < fii < (^ < Q2 < P2' 0 < < ... II y a une composante par facteur 
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premier. En pratique, pour r6duLre la charge de travail, on choisit des 
composantes « courtes », c'est-^-dire, de I'ordre de grandeur de la 
racine troisi^me ou quatri^me du facteur premier p^. 

Note. L'ensemble de ces composantes repr^sente une cle priv6e Q. La d6 
privee Q a'est jamais utilis^e telle quelle. 

Qa =Q2 (jnodpi); 
Si Qi^Qa, Q"a=Qj-Qa; Sinon, Qa=Qi+ Pi-Qai 

Q\,2=^aQa (mod p{)]p2 +Q2\ 

Qb =Qi,2 (inod/73); 
Si Q3^Qi Q"b=Q3-Qb\ Sinon. qI = + Pz - Qb\ 

2l,2.3 = W -Qb (mod P3 ) ]P\ ■P2 + Q\,2 ; 

Et ainsi de suite. Q est egal a ^1,2,3, ... 
La c\6 publique G est la puissance v i&me de Q (mod n) ou bien son inverse 
(mod n). 

G= Q" (mod n) ou bien G= {Q" (mod n)}"' (mod n) 

Note. En pratique, pour calculer le nombre G, on eleve chaque nombre Q. a 
la puissance v ieme (mod p), ... , puis, on utilise la methode des restes 
chinois pour etablir le resultat (mod n) ou son inverse (mod n). 

Gi=Qi (modpi); 
G2=Q2 (mod/72)', (mod/?i); 
Si Gi > G^, gI =Gj -G^; Sinon, gI=G^ + Pi -G„\ 

^\,2 = W-^"a (mod /7i))/?2+<^2; -^1,2 (mod p^); 

G3 sgj (mod/73) 

Si G3 > G^,, G^ = G3 — G^; Sinon, = G3 + p-^ ~C^6» 

^1,23 -K-^i (mod P3)jPl P2+Gl,2; 

Et ainsi de suite, G est egal a C7i 2,3. bien, a son inverse (mod n). 
Lorsque le nombre entier v est premier, on assure la propriete de secnrite 
annoncee. 
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1,1.2. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 

L'exposant public de verification v est egal a 2*. Le nombre entier k est un 
parametre de security plus grand que 1 . La valeur A: = 1 est interdite, 
Chaque nombre g est un entier inferieur au plus petit facteur premier. En 
outre, pour au moins un facteur premier p, Tequation ^ g (mod p) n*a pas 
de racine en x dans CG(p). 

Note. Cette construction assure que le nombre g est un residu non 
quadratique (mod n). 

Note. En pratique, on utilise pour g les nombres 2, 3, 5, 6, ... en eliminant 
bien s«r les caires tels que 4, 9, ... 

Note. II n'est pas recommande d'utiliser 6 en meme temps que 2 et 3 parce 
qu'ils se combinent par multiplication. On dit qu'ils ne sont pas 
« independants. » II vaut mieux utiliser 2 et 3 et « laisser tomber 6. » 

Pour chaque nombre g, la cie publique G est egale a g^. 
Pour chaque nombre g, chaque composante est la k ieme 

racine carree de G dans CG(p) qui est un residu quadratique dans CG(p). II 
y a une composante par facteur premier. 

Exemple de calcul de la k ieme racine carree quadratique de G dans CG(p) 
On pourra utilement consulter Tappendice 3, « Quadratic Residues », pp. 
278-288, dans Touvrage « Prime Numbers and Computer Methods for 
Factorization », Hans Riesel, Birkh%ouser, Boston, Basel, Stuttgart, 1985. 
Pour chaque facteur premier p congru a 3 (mod 4), on eleve k fois de rang G 
a la puissance (p+l)/4 pour obtenir la k ieme racine carree quadratique de G 
dans le corps CG(p) ; puis, on inverse ou non le resultat (mod p) pour 
obtenir la composante Q. pour le facteur preniier p.. 

Note. Plutot que d'extraire k racines carrees successivement, on peut 
proceder de maniere globale. 
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x = (p+l)/4; ysx* (modp-1); z = p-l-y; Qp=G' (modp); 

2* 

par cons6quent, pdivise G.Qp —1. 

ou bien, 

jc = (p+l)/4; >/ = x* (mod/?-l); z = >/; Qp=G' (mod/?); 
par consequent, pdivise -G. 
Pour chaque facteur premier p congru a 1 (mod 4), on utilise les suites de 
Lucas pour extraire les racines carrees successives, jusqu*a obtenir la k ieme 
racine carree de G dans le corps CG(p), avant d'inverser ou non le resultat 
(mod p) pour obtenir la composante pour le facteur premier p.. 

Par consequent, pdivise G.Q^ -1 oubien, -G, 
Les cles G ci Q sont deux residus quadratiques (mod n). La paire de cles 
selon la presente invention verifie Tune des deux relations suivantes. 

G.g^* = 1 (mod n) ou bien, = G (mod n) 

Exemples de paires de cles selon la presente invention et de contraintes 
sur les facteurs premiers 

On peut utilement consulter le chapitre 3, « Quadratic Residues », pp. 35- 
46, dans Touvrage « Introduction to Number Theory », Hua Loo Keng, 
Springer Verlag, Berlin, Heidelberg, 1982. 

❖ (2 I /?) = +! lorsque p est congru a ±1 (mod 8). 
(2 I p) = -1 lorsque p est congru a ±3 (mod 8). 

Pour utiliser g = 2, c'est-a-dire, la cle publique G = 4, il suffit qu'un 
facteur premier soit congm a ±3 (mod 8). Alors, le nombre 2 est un 
residu non quadratique modulo n. 

❖ (3 I /?) = +1 lorsque p est congru a ±1 (mod 12). 
(3 I p) = -1 lorsque p est congru a ±5 (mod 12). 

Pour utiliser g = 3, c'est-a-dire, la cle publique G = 9, il suffit qu'un 
facteur premier soit congru k ±5 (mod 12). Alors, le nombre 3 est un 
residu non quadratique modulo n. 

❖ Le nombre ^ = 4 est un carre ; il n'est done pas utilise. 
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❖ (5 I /?) = +1 lorsque p est congru k ±1 (mod 5). 
(5 \ p)- —1 lorsque p est congru ^ ±2 (mod 5). 

Pour utiliser ^ = 5, c*est-a-dire, la cle publique G = 25, il suffit qu'un 
facteur premier soit congru a ±2 (mod 5). Alors, le nombre 5 est un 
residu non quadratique modulo n. 

❖ (6 I /?) = +1 lorsque p est congru a ±1 ou ±5 (mod 24). 
(6 I /?) = —1 lorsque p est congru a ±7 ou ±1 1 (mod 24). 

Pour utiliser ^ = 6, c'est-^-dire, la cle publique G = 36, il suffit qu'un 
facteur premier soit congru ±7 ou ±1 1 (mod 24). Alors, le nombre 6 
est un residu non quadratique modulo n. 

❖ (7 I p) = +1 lorsque p est congru a ±1, ±3 ou ±9 (mod 28). 
(7 I p) = -1 lorsque p est congru a ±5, ±1 1 ou ±13 (mod 28). 

Pour utiliser g = 7, c'est-a-dire, la cle publique G = 49, il suffit qu'un 
facteur premier soit congru a ±2 (mod 5). Alors, le nombre 7 est un 
residu non quadratique modulo n. 
Note. Tous les temoins peuvent utiliser le meme jeu de cles publiques GA, 
G5, GC, GD, ... , par exemple, 4, 9, 25 et 49, moyennant des contraintes 
elementaires sur la selection des facteurs premiers. Ces contraintes sont 
pratiquement gratuites lorsqu*elles sont integrees aux procedures de 
production des facteurs premiers. 
1.1.3. Generalisation de la structure precedente 

Le nombre a est un nombre impair. II doit diyiser au moins un facteur 
preniier moins un. 

Note. En pratique, on donne au nombre a les valeurs des nombres premiers 
apartir de 3, soit : 3, 5, 7, 11, ... 

L'exposant public de verification v est egal a a*. Le nombre entier k est un 
parametre de seciuite plus grand que 1. La valeur ^ = 1 est interdite. 
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Chaque nombre g est un entier inf erieur au plus petit facteur premier. En 
outre, pour au moins un facteur premier p tel que a divisep-l, T equation 
x*'= g (mod p) n'a pas de racine en x dans CG(p). 

Note, Cette construction generalise les residus non quadratiques (mod n). 
Par exemple, dans le cas a = 3, on dit que le nombre g est un residu non 
cubique (mod n). Dans le cas general, on parle de residu non a dique (mod 
n). 

Note. En pratique, on donne au nombre g les valeurs 2, 3, 4, 5, ... en 

eliminant les puissances a iemes. 

Pour chaque nombre g, la cle publique G est egale a g\ 

Pour chaque nombre g, chaque composante ... est la k ieme 

racine a ieme de G dans CG(p) qui est un residu a dique dans CG(p). II y a 
une composante par facteur premier. 

Exemple de calcul de la k ieme racine troisieme de G dans CG(p) qui est un 
residu cubique dans CG(p). 

Pour chaque facteur premier p congru a 2 (mod 3), on eleve k fois de rang G 
a la puissance (p-2)/3 pour obtenir la k ieme racine a ieme de G dans le 
corps CG(p) ; puis, on inverse ou non le resultat (mod p) pour obtenir la 
composante Q. pour le facteur premier p,. 

Note. On pent proceder de maniere globale pour acceder directement au 
resultat cherche. 

jc = (/?"2)/3; >^3jc^ (modp-1); z^y; Qp^G^ (modp); 
par consequent, pdivise Qp -G. 
jc = (p-2)/3; y^x^ (modp-1); z^p-X-y, Qp^G^ (mod/?); 
par consequent, /7divise G.Qp -1. 

Four chaque facteur premier p congru a 1 (mod 3), 

pdivise G.gJ" -1 oubien q\ -^G. 

1.2. Entites 
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Le precede met en uuvre les trois entiles suivantes. 

Une premiere entite temoigne ; elle est appelee temoin. 

Le temoin dispose d'au moins deux facteurs premiers Pi ••• 

Le temoin dispose egalement d*un jeu de parametres des restes chinois \ 

/l^ ... ; chaque parametre peut etre calcule a Tavance ou bien retabli a 

chaque appel au temoin, selon les compromis en termes de calcul et de 

memoire. 

Le temoin dispose de I'exposmit public de verification v. 
Le temoin dispose egalement d'au moins un jeu de composantes QA^ QA^ 
QAj QB^ QB^ QB^ ... ; chaque composante peut etre calculee a 
Tavance ou bien retablie a chaque appel au temoin a partir des cles 
publiques GA, GB, ... et des facteurs premiers ... selon les 

compromis en termes de calcul et de memoire. 

Note. Chaque jeu de composantes ... represente une cle privee 

Q. Chaque paire de cles selon la presente invention est liee aux nombres v et 
n par Tune des deux relations suivantes. 

CQ"" = 1 (mod n) on bien G^Q"" (mod «) 
Note. Le temoin n'utilise ni le module public n, ni la cle privee Q, 
Une deuxieme entite pilote le temoin. 

S'il s'agit d'une authentification, c'est-a-dire, d'une preuve interactive de 
connaissance, Tentite qui pilote le temoin est appelee demonstrateur. 
En cas d'authentification d' entite, le demonstrateur n'a pratiquement rien a 
faire. 

En cas d'authentification de message, le demonstrateur dispose d'une 
fonction de hachage f 

S'il s'agit d'une signature numerique de message, c'est-a-dire, d'une preuve 
non interactive de connaissance, Tentite qui pilote le temoin est appelee 
signataire ; le signataire dispose de I'exposant public de verification v et 
d'une fonction de hachage f . 
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Une troisieme entite verifie ; elle est appelee controleur, Selon le cas, le 
controleur verifie Tauthentification ou la signature ; il dispose du module 
public n, de Texposant public de verification v, des cles publiques GA, GB, 
... et de la fonction de hachage f. 
1.3- Etapes 

Le proced6 comporte les etapes suivantes. 
Etape L Engagement du temoin 

• A chaque appel, pour chaque exposant public de verification vx vy vz 

le temoin tire au hasard et en prive au moins un jeu de nombres entiers : 
pour chaque facteur premier p., chaque jeu comporte un nombre entier r. 
positif et plus petit que p.. Ces nombres entiers sont ensuite appeles les aleas 
r, r, r, .... 

0<ri</?i; 0<r2</?2; 0<r^<P2', 

• Pour chaque exposant public de verification vx vy vz et pour chaque 
facteur premier p., le temoin eleve chaque alea r. a la puissance v ieme (mod 

p)- 

Ri^ri {modpi); R2=r^ (mod ^2)^ = i^od p^); 

• Puis, le temoin etablit chaque engagement R (mod n) selon la mdthode des 
testes chinois. 

Ra=R2 (mod/7i); 
Si Ri>Ra\ Ra"=Ri-Ra'-^ Sinon, R„"= Ri + pi- R^'; 
R12 ={^a-Ra" (mod A)}P2+^2; =^1,2 (mod ^3); 
Si R2>R'b, Rl=R3-Rb; Sinon, rI = R2+ Ps-Ri,; 

^1,2.3 =^b-Rb (inod P3)\PI P2 + RlX^ 

Et ainsi de suite. R est egal a Ri^2,3 ... 
Pour chaque exposant public de vdrification vx vy vz il y a autant 
d'engagements R que de jeux d'aI6as ... 
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Etape 2. Defi au temoin 

En cas d'authentification d' entity, 

le demonstrateur transmet tout ou partie de chaque engagement R au 
controleur ; 

apres avoir regu tout ou partie de chaque engagement R, le controleur 
produit au moins une sequence de nombres de 0 a v-1 pris au hasard. 
En cas d'authentification de message, 

le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour obtenir un jeton 
T a transmettre au controleur, 
apres avoir re9u le jeton T, le controleur produit au moins une sequence de 
nombres de 0 a v-1 pris au hasard. 
En cas de signature rlumerique de message, le signataire applique une 
fonction de hachage f ayant comme arguments le message m et chaque 
engagement/? pour obtenir au moins une sequence de nombres de 0 a v-1. 
Dans les trois cas, pour chaque exposant public de verification vx vy vz 
chaque sequence comporte autant de nombres de 0 a v-1 qu'il y a de paires 
de cles selon la presente invention ; dans chaque sequence, les nombres sent 
notes par dA, dB, ... Chaque sequence de nombres de 0 a v-1 est ensuite 
appelee defi rf. Pour chaque exposant public de verification vx v^^ vz il y 
a autant de defis d que d'engagements R. 

Etape 3. Reponse du temoin au defi 
• Pour chaque exposant public de verification vx vy vz ...» pour chaque 
facteur premier /;., le temoin calcule 

la puissance dA ieme de la composante QA. (mod p.), 
la puissance dB ieme de la composante QB, (mod p.), 

le produit des resultats precedents par Talea r. (mod /?.) ; 
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A =n.QAf^.QBf... (mod pi); D-^^r^-QAl^^ .QBf ... (modp2); 
- A =r^.QAf.QBf ... (modp3); 
• • Puis, pour chaque exposant public de verification vx vy vz .... le t6inoin 
6tablit au moins une reponse D (mod n) selon la m6thode des restes chinois. 

A =A (modpi); 

Si A ^ A. A = A - A; Sinon, A = A + Pi - A; 
A.2 = i^fl-A (mod ))p2 + A; 

A =A,2 (modp3); 

Si D3 > A, A = A - A; sinon, A = A + P3 - A; 

A.2.3 ={^6 A (mod P3)jA P2+A.2i 

Et ainsi de suite. D est ^gal k A.2.3 ... 
Pour chaque exposant public de verification vx vy vz il y a autant de 
reponses D que de d6fis d. 

Note. Chaque appel au temoin se traduit h. I'interface par autant de triplets 
{R, d, D) que de jeux d'aleas r, ... Remarquons qu'en ^levant la 
reponse D ^ la puissance v ieme (mod n), on doit retrouver 1' engagement R 
divis6 ou multipli6, selon T equation retenue pour Uer les paires de cl6s 
selon la pr6sente invention aux nombres v et n, par la puissance dA ihme de 
GA, la puissance dB ihme de GB, ... Par consequent, chaque triplet {R, rf, 
D] doit verifier Tune des deux relations suivantes. 

R = GA'^ .GB'^. ... D" (mod «); 
oxxhi&n RGA'^.GB'^. ... =0" (mod n); 
Etape 4. Donnees destinees au controleur 
En cas d'authentification d'entite ou de message, le demonstrateur transmet 
chaque reponse D au controleur. 

En cas de signature num^rique de message, le signataire transmet un 
message signe au contrdleur. Le message signe comprend le message m, 
ainsi que : 

* chaque defi d ou chaque engagement R, 
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* chaque reponse D. 

Etape 5. Verification exercee par le contrdleur 
Note. On aurait pu tester ici le symbole de Jacobi de chaque reponse, a 
condition d'avoir force le symbole de Talea a T^tape 1. Cependant, il vaut 
mieux « laisser tomber les symboles ». II est bien plus economique 
d' accepter de perdre un bit de defi. 

Note. L*une des deux relations suivantes reconstruit un engagement note 
par«\ 

R'^iGA'^.GB'^. (mod«); 
oubien D'' / (GA'^.GB'^ . (mod«); 

En cas d'authentification d' entity, le controleur doit appliquer la fomiule 
appropriee pour reconstruire chaque engagement R' : aucun ne doit etre nul. 
Chaque engagement reconstruit R' doit reproduire I'integralite des donnees 
transmises a Tetape 2, c'est-a-dire, tout ou partie de chaque engagement /?. 
Lorsque toutes les conditions sont remplies, Tauthentification d'entite est 
reussie. 

En cas d'authentification de message, le controleur doit appliquer la 
formule appropriee pour reconstruire chaque engagement R' : aucun ne doit 
etre nul. Puis, il doit appliquer la fonction de hachage f ayant conmie 
arguments le message m et chaque engagement reconstruit R' pour 
reconstruire le jeton T\ Le jeton reconstruit T' doit etre identique au jeton T 
de l' etape 2. Lorsque toutes les conditions sont remplies, l*authentification 
de message est reussie. 

En cas de signature numerique de message, selon le cas, 

• le controleur doit appliquer la formule appropriee^pour reconstruire 
chaque engagement If ^ : aucun ne doit etre nul. Puis, il doit appliquer 
la fonction de hachage f ayant comme arguments le message m et 
chaque engagement reconstruit R' pour reconstruire chaque defi d\ 
Chaque defi reconstruit d' doit etre identique au defi d figurant dans 
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le message signe. Lorsque toutes les conditions sont remplies, la 
signature est correcte. 

• le controleur doit appliquer la fonction de hachage f ayant comme 
arguments le message m et chaque engagement if figurant dans le 
message sign6 pour reconstruire chaque d6fi d\ Puis, il doit 
appliquer la formule appropriee pour controler la coherence de 
chaque triplet {/?, d\ D), Chaque triplet doit etre coherent, Lorsque 
toutes les conditions '^sont remplies, la signature numerique est 
correcte. 

2. Triplets 

Chaque appel au temoin se traduit par une collection de triplets a T interface 
du temoin. Chaque triplet {R,d,D) comprend un engagement /?, un defi d 
et une reponse D. II y a deux manieres de produire des triplets : une maniere 
de produire en prive et une maniere de produire en public. 

• Le temoin produit en prive selon la chronologie suivante : i chaque 
appel, il fixe d'abord un nouveau jeu d'aleas qu'il transforme en un 
engagement /?, puis, il produit la reponse D a n'importe quel defi d 
de 0 a v-1. 

• N'importe qui pent produire en public selon la chronologie suivante : 
quel que soit le defi de 0 a v— 1, n'importe qui peut completer le 
triplet a partir de n'importe quelle reponse D en etablissant 
r engagement R gr,ce aux nombres publics G, v et n. 

3. Tenailles 

Par definition, deux triplets sont « en tenaille » lorsqu'ils sont constitues 
des deux reponses D et £" a deux defis d e pour le meme engagement /f , 
c'est-a-dire, {/?, J, D} et {/?, E). 

A chaque appel, le temoin est en position de produire des triplets en 
tenaille : il lui suffirait de reutiliser un jeu d'aleas. Mais il se garde bien des 
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tenailles : en tirant au hasard un jeu d'aleas chaque appel, il utilise en 
pratique chaque fois un nouveau jeu d'aleas. 

3.1. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la cle piivee Q 

La connaissance de deux triplets « en tenaille » equivaut a la connaissance 

de la cle privee Q, 

Demonstration. 

D'une part, le temoin se configure a partir des facteurs premiers p^ 
de la cle privee Q et de I'exposant public de verification v. Une fois 
configure, le temoin peut produire une tenaille : il lui suffit d'utiliser deux 
fois le meme jeu d'aleas. 

D' autre part, deux triplets en tenaille se traduisent par les equations 
suivantes : 

D = r.Q^ (mod n) a E = r.Q^ (mod n) avec 0<d <e<v 
Par consequent. El D^Q^~^ (mod n), avec 0 < e-d < v 
Voyons comment calculer la cle privee Q a partir du rapport £7D, lequel 
vaut Q'^ (mod n), c'est-a-dire I'une des v-1 valeurs {g, 2^, g\ ... fi"* (mod 
n)}, sachant que (mod n) est la cle publique G ou son inverse modulo n. 
La solution fait appel a I'identite de Bezout. Par definition, les coefficients 
de Bezout de v et de e-d sont les deux entiers A: et / verifiant les relations 
suivantes; I'algorithme de division d'Euclide permet de les calculer 
efficacement. 

0<k<e-d\ 0 < / < v; Lv-l^e - 1/) = ±pgcd(e - d, v) 
Dans le cas present, v est premier et done pgcd(e-<i, v) = 1 . Ce qui donne 
I'identite : 

C'est-a-dire, (g")^ KQ^'^^i = Q-^ (mod n) 

* Lorsque G = (mod n) est udlisee, liEIDi (mod «) vaut 
Q (mod ri) ou son inverse modulo n. 
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* Lorsque CQ" =1 (mod w) est utilisee, G^-iEfU)^ (mod«) vaut 
Q (mod n) ou son inverse modulo n. 

3.2. Paire dc cles selon la presente inventioii conferant une s^cuiite 
equivalente a la connaissance de la factorisation de n 
Note. Cette demonstration se rapporte a la version precedente, c'est-a-dire, 
a la version qui tient compte du symbole de Jacobi. En effet, pourvu que le 
nombre g soit un residu non quadratique pour un nombre impair de facteurs, 
en forgant le symbole de Legendre des aleas, on a toujours le meme 
symbole de Jacobi pour les r^ponses. 

Note. La presente version fait fi du symbole de Jacobi ; le prix a payer est 
la perte d'un bit de defi par paire de cl^s selon la presente invention. Le 
procede ne marche pas pour it = 1 ; le tricheur a une strategie gagnante 
totale. A partir de it =^ 2, le tricheur n'a plus qu'une strategie gagnante 
partielle : il pent anticiper deux d6fis mais pas trois. 

La connaissance de deux triplets « en tenaille » equivaut a connaitre une 
decomposition en deux facteurs du module public n. C'est la factorisation 
complete s'il y a deux facteurs premiers. S'il y a plus de deux facteurs 
premiers, il y a factorisation partielle, c'est-k-dire, deux facteurs non tous 
deux premiers : d'une part, un produit de facteurs premiers par rapport 
auquel le symbole de Jacobi de g vaut -1 et, d' autre part, le produit des 
autres facteurs premiers. 
Demonstration. 

D'une part, le temoin se configure & partir des facteurs premiers p^ 
du nombre public g et du facteur de security k. Une fois configure, le temoin 
pent produire une tenaille : il lui suffit d'utiliser deux fois le meme jeu 
d' aleas. 

D' autre part, deux triplets en tenaille se traduisent par les equations 
suivantes : 

k ^ 

R=G'^ .D^ (mod «) et i? = G^E^ (mod n) 
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Lorsque k vaut 1, le defi d se limite a un seul bit. 

Introduisons une paire de fonctions {G^; GJ definie sur les elements de 
I'anneau des entiers (mod n) dont le symbole de Jacobi par rapport k n vaut 
+1. 

GJix) = X (mod n) et G,(jc) = Gjc (mod n) 
Cette paire de fonctions generalise la paire introduite par Goldwasser, 
Micali et Rivest. La tenaille donne un nombre entier G.£^-D^ divisible par 
n. Le nombre entier G.E^-D^ est egal a g.E-D fois g.E+D. Or le symbole de 
Jacobi de g.E par rapport a n est -1 et celui de D est +1 ; done, n ne divise 
ni g.E-D, ni g.E-^D. Par consequent, pgcd(n, g,E-D) et pgcd(n, g.E-\-D) sont 
deux facteurs non triviaux de n. 

Lorsque k est plus grand que 1, le defi d est une sequence de k bits, 
representant un nombre entier du bit de poids faible d(0) au bit de poids fort 
dik-iy Soit i/ = J,._l.2'~^^-...rfl.2 + ^/o• 
Composons la paire de fonctions {G^; GJ et etendons la notation en 
consequence. 

G^^(G^^(...G^^_^(x)...)) 
^G^o.(G^^C..G^^-^x^...)^)^ (mod n) 
^G'^.x^* (modn) = G^(jc) 
Les deux defis e et J sont deux sequences de k bits comportant trois parties : 
le meme suffixe commun, eventuellement vide, sur les bits de poids faible, 
un bit de divergence a 0 dans un defi et a 1 dans 1' autre defi, 
des prefixes quelconques, Eventuellement vides, sur les bits de poids forts. 
Le bit de divergence donne un nombre Gjc^-y^ qui est divisible par n. 
Aucun des deux nombres gx-y et gjc+y n'est divisible par n puisque ^jc et 
y ont respectivement -1 et +1 comme symbole de Jacobi par rapport a n. 
Par consequent, pgcd(n, gjc-y) et pgcd(n, sont deux facteurs non 

triviaux de n. 
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4. Securite du nouveau precede 

D'une maniere g6n6rale, la securite des protocoles «sans transfert de 
connaissance » s' analyse selon trois notions de base definies dans T article 
de base de Shafi Goldwasser, Silvio Micali et Charles Rackoff. 
Dans le cas qui nous interesse, une entite proclame : « — Void un module 
n, un exposant de verification v et une cle publique G; j' utilise la 
factorisation de n et je connais la cle privee Q. » 

Par definition, lorsque Tentite connait les facteurs premiers, c'est un 
temoin. A chaque appel, le temoin produit de maniere privee un triplet que 
le controleur accepte. Par consequent, la procedure est complete . 
Par definition, lorsque Tentite ne connait pas les facteurs premiers, c'est un 
tricheur. A chaque appel, le tricheur a une chance sur v de deviner le defi d 
(si les V defis sont equiprobables) ; il peut done anticiper un defi, n'importe 
lequel, et ainsi tromper le controleur ; s'il pouvait anticiper un deuxieme 
defi apres avoir produit 1' engagement, il connaitrait une paire de triplets en 
tenaille, ce qui contredit la definition du tricheur. Par consequent, la 
procedure est robuste . 

Note. La presente version fait fi du symbole de Jacobi ; le prix a payer est 
la perte d'un bit de defi par paire de cles selon la presente invention. Le 
procede ne marche pas pour ^ = 1 ; le tricheur a une strategic gagnante 
totale. A partir de it = 2, le tricheur n'a plus qu'une strategic gagnante 
partielle : il peut anticiper deux defis mais pas trois. 

Quelle que soit la maniere dont se comporte le monde exterieur, il re9oit 
seulement I'infomiation que le temoin connait les facteurs premiers. Plus 
precisement, quelle que soit T information emise par le ^temoin, n'importe 
qui aurait pu la constituer sans interaction avec le temoin ; n'importe qui 
peut simuler les transmissions et produire un enregistrement qui reproduit 
les caracteristiques statistiques des informations recueillies lors d'une 
interaction avec le temoin. Durant Tinteraction, un observateur ne peut pas 
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distinguer un honnete temoin d*un faux temoin utilisant une liste de defis 
con venue a Tavance. Apres T interaction, un juge ne pent pas distinguer les 
deux types d'enregistrements. En effet, on ne pent pas distinguer un 
enregistrement de triplets produits de maniere publique et un enregistrement 
de triplets produits de maniere priv6e. Par consequent, la procedure utilisee 
par le temoin ne la isse filtrer aucune information sur la valeur des facteurs 
premiers , 

L'entite qui prouve pilote toujours le meme temoin fonctionnant toujours de 
la meme maniere : le temoin utilise les facteurs premiers et la cle privee Q 
sans les reveler ; le temoin assure la protection des facteurs premiers et de la 
cle privee Q. Le controleur verifie la cle privee Q sans en prendre 
connaissance. La procedure se deroule « sans transfert de connaissance ». 
Certaines paires de cles selon la presente invention sent telles que la 
connaissance de la cle privee Q implique la connaissance de la factorisation 
du module n. Avec le nouveau procede, la factorisation et la cle privee Q ne 
s*usent pas, meme quand on s'en sert. 
5. Performances du nouveau procede avec v = 2* 
Dans cette evaluation, on fait Thypothese que la valeur de G est petite, par 
exemple, G - 4. La charge de travail du temoin et la charge de travail du 
controleur dependent du niveau de securite recherche, c'est-a-dire du 
produit de deux nombres : le nombre j de triplets produits a chaque appel au 
temoin et la valeur donnee au parametre de securite k moins un (en effet, on 
perd un bit de defi en laissant tomber le symbole de Jacobi). 
Pour une authentification avec y. (k~ 1 ) = 1 6 avec j = 1 , 

le temoin doit effectuer 17 carres pour calculer Tengagement /?, puis, en 

moyenne 16 carres et 8 multiplications plus une multiplication pour 

calculer la reponse £>, soit 41 operations (mod n) ; 

cette charge est divisee par deux avec deux facteurs premiers, soit 20 

operations (mod n) ; 
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cette charge est divisee par trois avec trois facteurs premiers, soit 
environ 14 operations (mod n) ; 

et ainsi de suite, 
le controleur doit effectuer 17 carres (mod n). 
5 Pour une signature avec /(A^-l) = 80 avec 7=1, 

le temoin doit effectuer 81 carres pour calculer T engagement R, puis, en 
moyenne 80 carres et 40 multiplications plus une multiplication pour 
calculer la reponse D, soit 202 operations (mod n) ; 

cette charge est divisee par deux avec deux facteurs premiers, soit 100 
10 operations (mod n) ; 

cette charge est divisee par trois avec trois facteurs premiers, soit 67 
operations (mod n) ; 

et ainsi de suite, 
le controleur doit effectuer 81 carres (mod w). 
15 Remarque, Pour une valeur donnee du niveau de securite j,k, le choix j- I 

ne change pratiquement pas la charge de travail du temoin, ni celle du 
controleur ; elle minimise toutefois le nombre de triplets produits, c'est-a- 
dire, la charge de transmission pour mener a bien T operation, que cette 
operation soit une authentification ou une signature. 
20 Utilisons plusieurs paires de cles selon la presente invention, toutes avec le 

meme exposant public de verification v. Cela fait apparaitre un niveau de 
securite J.(k—l),l ou / est le nombre de paires de cles selon la presente 
invention. Le fait d'utiliser plusieurs paires de cles selon la presente 
invention diminue la charge de travail du temoin, ainsi que la charge de 
25 travail du controleur. 

Dans le tableau ci-dessous, M represente une multiplication (mod n) et X un 
carre (mod n). Rappelons que sur le composant ST 16601 pour carte a puce, 
avec une horloge normalisee a 3,579545 MHz, le carre modulo pom* 512 
bits se fait en 150 ms et la multiplication modulo en 200 ms. 
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(it-1)./ = 16 


/= 1 


1 = 2 


1 = 4 


Z = 8 


/= 16 


Engagement 


17 X 


9X 


5X 


3X 


2X 


R^ponse 


1 M + 


1 M + 


IM + 4X+ 


1 M + 


1M + 




16 X + 


8 X + 


8M 


2X + 


1 X + 




8M 


8X 




8M 


8M 


Total du 


33 X + 


17 X + 


9X + 


5X + 


3 X + 


temoin 


9M 


9M 


9M 


9M 


9M 


Trois 


11 X + 


6X + 


3X + 


2X + 


1 X + 


facteurs 


3M 


3M 


3M 


3M 


3M 


Verification 


17 X 


9X 


5X 


3X 


2X 



Le compromis pour / = 4 est tres attrayant parce que, compte tenu des restes 
chinois avec un module a trois facteurs premiers, le terminal et la carte ont a 
peu pres la meme charge de travail. II est preconise d'utiliser les cles 
publiques GA = 4, G5 = 9, GC = 25, GD = 49. 
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Revendications 

1. Proc6d6 pour diminuer la charge de travail pendant une session 
destinee k prouver k un contrSleur, 

- r authenticity d'une entit6 et/ou 

- Torigine et 1' integrity d*un message m, 
ledit procede met en oeuvre trois entites : 

- une premiere entit6 appel6e t6moin dispose des facteurs premiers 
Pi5 P29 ••• (Pi >•••)(! etant sup6rieur ou egal a 2) d'un module public n tel 
que n = Pi.P2* Pa* * 

ledit temoin dispose aussi 

* des composantes QAj, QA2, ... (QAj , ...), et QBi, QBj, ... (QBj , 
...),..-, representant des cl6s privees QA, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GAj, ... (GA|, •..) et GB„ GBj, ... (GBj, ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cles privees et cl6s publiques 6tant liees par des relations du type : 

GA.QA'^ mod n = 1 ou GA = QA"^ mod n 
lesdits exposants publics de verification vx, vy, ... etant utilises par le 
temoin pour calculer des engagements R en effectuant des operations du 
type : 

Ri = rj"^ mod Pj 

ou F; est un entier, associe au nombre prenaier Pj, tel que 0 < Fj < p. , chaque 
Tj appartenant k une collection d'aleas {Fj, Fj, Fj, ...}, 

le temoin tire au hasard une ou plusieurs collections d*aleas de telle sorte 
que, pour chaque exposant public de v6rification v, il y a autant 
d'engagements R que de collections d*aleas {fj, Fj, Fj, . . . }, 

- une deuxieme entit6 pilote dudit temoin 

* appelee demonstrateur dans le cas de la preuve de Tauthenticite 
d'une entite ou de Tauthenticite d'un message. 
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* appelee signataire dans les cas de la preuve de Torigine et de 
rintegrite d'un message, 

- une troisieme entite appelee controleur verifie I'authentification ou 
Torigine et I'integrite d*un message, 

ledit temoin re9oit de la deuxieme entite ou du controleur un ou plusieurs 
defis d tel que 0 < d < vx - 1 et calcule a partir de ce defi une ou plusieurs 
reponses D en effectuant des operations du type : 

D; = Tj . QAi . QBj *® . . . . mod ft 
oh Fj est un alea tel que 0 < Tj < pj 

de sorte que le nombre d'operations arithmetiques modulo pj a effectuer 
pour calculer chacune des reponses Dj pour chacun des Pj est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n, 
ledit controleur recevant une ou plusieurs reponses D calcule h partir 
desdites reponses des engagements R' en effectuant des operations du 
type : 

R'^GA*^.GB^..,.D^ modn 

ou du type : 

. GA GB ... = mod n 

ledit controleur verifie que les triplets {R% d, D} sont coherents. 

2. Procede pour diminuer la charge de travail pendant une session 
destinee a prouver a un controleur, 

- I'authenticite d'une entite et/ou 

- Torigine et I'integrite d*un message m, 
ledit procede met en oeuvre trois entites : 

-une premiere entite appelee temoin dispose des facteurs premiers 
Pi> P25 (Pi > •••) ^tant superieur ou egal a 2) d'un module public n tel 
que n = Pi«P2* Pa* ••• » 
ledit temoin dispose aussi 

* des composantes QA^, QAj, ... (QAj , ...X et QB^, QBj, ... (QB; , 
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• - •> representant des cles privees QA, QB, . . . 
* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GAj, (GAj, .•.) et GBj, GBj, ... (GBj, •..) 

* d'un exposant public de verification v 

lesdites paires de cl6s privees et publiques etant li6es par des relations du 
type : 

GA.QA^ mod n = 1 ou GA = QA^ mod n 

ledit exposant public de verification v etant utilise par le temoin pour 
calculer des engagements R, 

• en effectuant des operations du type : 

= mod Pi 

ou Tj est un entier, tire au hasard, associe au nombre premier pj, tel que 0 < Fj 
< Pj , chaque appartenant a une collection d'aleas {rj, Tj, Tj, •..}, 

• puis en appliquant la methode des restes chinois, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d'engagements R que de collections d'aleas {Fj, Fj, F3, ... }, 
de sorte que le nombre d' operations arithmetiques modulo a effectuer 
pour calculer chacun des Rj pour chacun des pj est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 

- une deuxieme entite pilote dudit temoin, 

* appelee demonstrateur dans le cas de la preuve de Tauthenticite 
d'une entite ou de Tauthenticite d'un message, 

* appelee signataire dans les cas de la preuve de I'origine et de 
rintegrite d'un message, 

- une troisieme entite appelee controleur verifie rauthentification ou 
I'origine et I'integrite d'un message, 

ledit temoin re9oit de la deuxieme entite ou du controleur, des collections 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections de 
defis d etant egal au nombre d' engagements R, chaque collection {dA, dB, 
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...} comprenant un nombre de defis egal au nombre de paires de cles, 

ledit temoin calcule a partir de chacune desdites collections de defis {dA, 

dB, ...} des reponses D 

• en effectuant des operations du type : 

Dj s Tj. QAj . QBj . ... mod ft 

• puis en appliquant la methode des restes chinois, 

de telle sorte quMl y a autant de reponses D que d'engagements R et de 
defis d, 

de sorte que le nombre d' operations arithmetiques modulo pj a effectuer 
pour calculer chacun des Dj pour chacun des Pj est reduit par rapport k ce 
qu'il serai t si les operations etaient effectuees modulo n 
ledit controleur recevant une reponse D calcule a partir de cette reponse un 
engagement R' en effectuant des operations du type : 

R' = GA^.GB^....D^ modn 

ou du type : 

R\ GA ^. GB ^. ... = mod n 

ledit controleur verifie que les triplets {R% d, D} sont coherents. 

3. Procede selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee a prouver a un controleur 
Tauthenticite d'une entite ; 
ledit procede met en oeuvre trois entites : 

1 - une premiere entite appelee temoin dispose des facteurs premiers 
Pi, P2, ... (Pi , ...) (i et^t superieur ou egal a 2) d'un module public n tel 
que n = Pi.pj. P3. ... , 
ledit temoin dispose aussi 

* des composantes QA^ QA^, ... (QA^ ,...), et QBj, QBj, ... (QBi , 
..,),..., representant des cles privees QA, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GA^, ... (GA;, ...) et GBj, GBj, ... (GBj, ...) 
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• d'un exposant public de verification v 

lesdites paires de cles priv6es et publiques etant liees par des relations du 
type : 

GA.QA^ mod n = 1 ou GA = QA^ mod n 

2 - une deuxieme entite pilote dudit temoin appelee d^monstrateur 

3 - une troisieme entite appelee controleur verifie Tauthentification, 
pour prouver Tauthenticite d'une entite, ledit temoin, ledit demonstrateur 
et ledit controleur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 

- a chaque appel, le t6moin tire au hasard et en priv6 au moins une 
collection de nombres entiers {Fj, Tj, Tj, ...},telle que, pour chaque facteur 
premier pj, chaque collection comporte un alea positif et plus petit que pj , 

- pour chaque facteur premier pj , le temoin elfeve chaque al6a a la 
puissance v ieme modulo p; 

Rj = mod Pi 

de sorte que le nombre d' operations arithmetiques modulo a effectuer 
pour calculer chacun des pour chacun des P; est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 

- puis, le temoin etablit chaque engagement R modulo n selon la methode 
des restes chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. defi d destine au temoin : 

- le demonstrateur transmet tout ou partie de chaque engagement R au 
controleur, 

le controleur, apres avoir re9u tout ou partie de chaque engagement R, 
produit au moins une collection de d6fis d {dA, dB, .•.} tels que 0 < dA < v 

- 1, le nombre des collections de defis d etant egal au nombre 
d'engagements R, chaque collection {dA, dB, ...} comprenant un nombre 
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de defis 6gal au nombre de paires de cl6s, 

• etape 3. reponse du temoin au defi d : 

- ledit temoin calcule des reponses D k partir desdites collections de defis d 
{dA, dB, ..•} refues du controleur 

en effectuant des operations du type : 

Di = . QAj ^ . QBj • . . . mod Pi 
de sorte que le nombre d' operations arithmetiques modulo ft a effectuer 
pour calculer chacun des Dj pour chacun des r est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 
puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d'engagements R et de defis d, 

• etape 4. donnees destinees au controleur : 

- le demonstrateur transmet au controleiw chaque reponse D, 

• etape 5. verification par le controleur : 

ledit controleur calcule k partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R'=GA^.GB**«.,..D^ modn 

ou du type : 

R G A ^ . GB = mod n 

ledit controleur verifie que chaque engagement reconstruit R' reproduit 
tout ou partie de chaque engagement R transmis a Tetape 2 par le 
demonstrateur. 

4. Precede selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee a prouver a un controleur 
I'authenticite d'un message m, 
ledit procede met en oeuvre trois entit6s : 

1 - une premifere entite appelee temoin dispose des facteurs premiers 
Pi> P2? (Pi J •••) (i etant sup6rieur ou egal a 2) d'un module public n tel 
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que n = Pi«P2- Pa- * 

ledit temoin dispose aussi 

* des composantes QA^, QA2, ... (QAj ,...), et QB^, QBj, ... (QBj , 
• . ...» representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GAj, ... (GA;, ...) et GBj, GBj, ... (GBj, .•.) 

• d'un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA'^ mod n = 1 ou GA s Q A^ mod n 

2 - une deuxieme entit6 pilote dudit t6moin appelee demonstratexir, 

3 - une troisieme entite appelee controleur verifie Tauthentification, 
pour prouver I'authenticite d'un message ledit temoin, ledit demonstrateur 
et ledit controleur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 

- a chaque appel, le temoin tire au hasard et en prive au moins une 
collection de nombres en tiers {r^, Fj, r^, ...},telle que pour chaque facteur 
premier pj, chaque collection comporte un alea rjpositif et plus petit que pj , 

- pour chaque facteur premier p; , le temoin eleve chaque alea Tj a la 
puissance v ieme modulo pj 

Rj = Fj" mod Pi 

de sorte que le nombre d' operations arithmetiques modulo Pj a effectuer 
pour calculer chacun des Rj pour chacun des Pj est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 

- puis, le temoin 6tablit chaque engagement R modulo n selon la methode 
des restes chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

•••}> 

• etape 2. defi d destine au temoin : 
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- le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour un jeton T, 

- le demonstrateur transmet le jeton T au contrSleur, 

- lecontroleur, apres avoir regu le jeton T, produit au moins une collection 
de d€fis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections de 
defis d etant egal au nombre d' engagements R, chaque collection {dA, dB, 
...} comprenant un nombre de defis egal au nombre de paires de cl6s, 

• etape 3. reponse du temoin au defi d : 

- ledit temoin calcule des r^ponses D k partir desdites collections de d6fis d 
{dA, dB, ...} refues du controleur 

en effectuant des operations du type : 

D, = r, . QAi . QB, «».... mod p, 

puis en appliquant la m^thode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo p, a effectuer 
pour calculer chacun des D-, pour chacun des p, est reduit par rapport k ce 
qu'il serait si les operations etaient effectuees modulo n, 
de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au controleur : 

- le demonstrateur transmet au contr61eur chaque reponse D, 

• etape 5. verification par le controleur : 

ledit contrdleur calcule a partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R' = GA'^.GB'®....D' modn 

pu du type : 

R'.GA'^.GB'».... = D-modn 

ledit contrdleur appUque la fonction de hachage f ayant comme arguments 
le message m et chaque engagement reconstruit R' pour reconstruire le 
jeton T% 
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ledit controleur verifie que le jeton T' est identique au jeton T transmis k 
I'etape 2 par le demonstrateur. 

5. Proc6d6 selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee k prouver a un controleur la signature 
Aumerique d'un message m, 
ledit procede met en oeuvre trois entites : 

1 - une premiere entit6 appelee t6moin dispose des facteurs premiers 
Pi, P2, ... (Pi , ...) (i etant superieur ou egal a 2) d'un module public n tel 
que n = pj.pj. P3. ... , 

ledit temoin dispose aussi 

* des composantes QA^, QAj, ... (QAj , ...X et QBj, QBj, ... (QBj , 
. . . . , representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAp GA2, ... (GAj, ...) et GBi, GBj, ... (GB^, 

* d'un exposant public de verification v 
lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA^ mod n ^ 1 ou GA = Q A^ mod n 

2 - une deuxieme entite pilote dudit temoin appelee signataire, 

3 - une troisieme entite appelee controleur verifie Tauthentification, 
pour prouver la signature d'un message ledit temoin, ledit demonstrateur 
et ledit controleur executent les etapes suivantes : 

* etape 1. engagement R du temoin : 

- k chaque appel, le temoin tire au hasard et en prive au moins une 
collection de nombres entiers [r^, Fj, rj, ...},telle que, pour chaque facteur 
premier pj, chaque collection comporte un alea rjpositif et plus petit que pj , 

- pour chaque facteur premier p^ , le t6moin eleve chaque alea r, a la 
puissance v ieme modulo pj 

Rj = r-^ mod Pj 
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de sorte que le nombre d' operations arithmetiques modulo pjj a effectuer 
pour calculer chacun des Rj pour chacun des pj est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 

- puis, le temoin etablit chaque engagement R modulo n selon la methode 
des restes chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. defi d destine au temoin : 

- le signataire applique une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour obtenir au moins une 
collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des 
collections de defis d etant egal au nombre d'engagements R, chaque 
collection {dA, dB, ••.} comprenant un nombre de defis egal au nombre de 
paires de cles, 

- le signataire transmet les collections de defis d au temoin, 

• etape 3. reponse du temoin au defi d : 

- ledit temoin calcule des reponses D a partir desdites collections de defis d 
{dA, dB, ...} re9ues du controleur 

en effectuant des operations du type : 

Dj = rj.QAj*^.QBi mod Pi 

puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo Pj^ effectuer 
pour calculer chacun des Dj pour chacun des pj est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n, 
de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d'engagements R et de defis d, 

- ledit temoin transmet les reponses D au signataire et/ou au controleur, 

• etape 4. donnees destinees au controleur : 

- le signataire transmet un message signe au controleur comprenant : 
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/ le message m, 

/ les collections de d6fis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le controleur : 
cas ou le controleur regoit la collection des defis d, 

dans le cas oil le controleur refoit la collection des defis d et des reponses 
D, ledit controleur calcule k partir de chaque reponse D un engagement R' 
en effectuant des operations du type : 

R'=GA^.GB'®....D^ modn 

ou du type : 

R' . G A . GB ^ . • . . = mod n 

ledit controleur applique la fonction de hachage f ayant comme arguments 
le message m et chaque engagement reconstruit R' pour reconstmire 
chaque defi d% 

ledit controleur verifie que chaque defi d' reconstruit est identique au defi 
d figurant dans le message sign6, 

cas ou le controleur revolt la collection des engagements R 

dans le cas ou le controleur regoit la collection des engagements R et des 
reponses D, ledit controleur applique la fonction de hachage f ayant 
comme arguments le. message m et chaque engagement R pour reconstmire 
chaque defi d% 

ledit controleur reconstrait alors la collection des engagements R' en 
effectuant des operation du type 

R'sGA'^'^.GB'^'^.-.D^ modn 

ou du type : 

R' . GA "^'^ . GB . . . . = mod n 

ledit controleur verifie que chaque engagement R' reconstruit est identique 
a I'engagement R figurant dans le message signe, 

6. Proced6 selon Tune quelconque des revendications 1^5 tel que 
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les composantes QA^, QA^, ... (QAj , ...), et QBj, QB^, ... (QB„ ...), ... des 

cles priv6es QA, QB, ... sont des nombres tires au hasard a raison d'une 
composante QAj , QBj , ... pour chacun desdits facteurs premiers r, 
lesdites cles privees QA, QB, pouvant Stre calcul^es k partir desdites 
composantes QA„ QAj, ... (QA,, ...), et QB,, QBj, ... (QB, , ...), .. . par la 

methode des testes chinois, 

lesdites cles publiques GA, GB, ... etant calculee 

• en effectuant des operations du type : 

G\ - QA/ mod ft 

• puis en appliquant la methode des testes chinois pour etablir GA tel que 

GA = QA^ mod n 

ou bien tel que 

GA.QA*modn = l 

de sorte que le nombre d'operations arithmetiques modulo p, a effectuer 
pour calculer chacun des GAj pour chacun des Pi est reduit par rapport a 
ce qu'il serait si les operations etaient effectuees modulo n. 

7. Procede selon la revendication 6 tel que I'exposant public de 
verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

8. Procede selon Tune quelconque des revendications 1 a 5 tel que 
I'exposant public de verification v est du type 

V = a*" 

ou k est un parametre de securite. 

9. Procede selon la revendication 8 tel que : 

- Texposant public de verification v est du type ^ 

v = 2*^ 

ou k est un parametre de securite, 

- la cle publique GA est un carre gA^ inferieur a n choisi de telle 
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sorte que 1' equation 

= gA mod n 

n'a pas de racine en x dans Tanneau des entiers modulo n 

- lesdites composantes QAj, QAj, (QAi, ...) de la cle priv6e QA 
sont telles que : 

GA= QAj^'^P^^modpi 

ou bien telles que : 

G A JQ Ai mod 1 
on les obtient en extrayant la kieme racine carree de GA dans le corps de 
Galois CG(Pi) 

de sorte que le nombre d' operations arithmetiques modulo p. k effectuer 
pour calculer chacun des QA; pour chacun des Pj est reduit par rapport k 
ce qu'il serait si les operations etaient effectuees modulo n, 
de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la factorisation de n. 

10. Procede selon la revendication 9 tel que pour extraire la kieme 
racine carree de GA dans le corps de Galois CG(Pi), 

* dans le cas ou le facteur premier pj est congm a 3 modulo 4, on 
applique notamment un algorithme du type : 

x = (p+l)/4 ; y = x'^ mod (p-1) ; z = y ; QA^ = GA^ mod r 

* dans le cas oil le facteur premier Pj est congru a 1 modulo 4, on 
utilise les suites de Lucas. 

11. Systeme pour diniinuer la charge de travail pendant une session 
destinee a prouver a un serveur controleur, 

- I'authenticite d'une entit6 et/ou 

- Torigine et Tintegrite d'un message m, 
ledit procede met en oeuvre trois entites : 

- une premiere entite, appelee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 



no 



bancaire a microprocesseur, 

le dispositif temoin dispose d*une premiere zone memoire contenant des 
facteurs premiers pj, pj, (Pi , ...) (i etant superieur ou egal k 2) d'un 
module public n tel que n = Pi.pj* P3. , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant : 

* des composantes QA^, QAj, ... (QAj , .-.X et QB^, QB^, ... (QBj , 
...)» • • v» representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, . . . ayant respectivement pour 
composantes GAj, GAj, ... (GAj, ...) et GBj, GBj, ... (GBj, ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cles privees et cles publiques etant liees par des relations du type : 

GA.QA"^ mod n = 1 ou GA = QA^ mod n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

Ri = r™modpi 
ou Fj est un alea tel que 0 < F; < pj , 

de sorte que le nombre d' operations arithmetiques modulo pj a effectuer 
par lesdits premiers moyens de calcul pour calculer chacun des R; pour 
chacun des pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- une deuxieme entite appelee dispositif pilote dudit dispositif 
temoin pouvant etre egalement contenue notamment dans ledit objet 
nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrates dans le cas de la preuve de T authentic! te 
d'une entite ou de Tauthenticite d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
rintegrite d'un message. 
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- une troisieme entite appelee dispositif controleur se pr6sentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
h un reseau de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

ledit dispositif controleur verifie I'authentification ou Torigine et I'integrite 
d'un message, 

ledit dispositif temoin refoit du dispositif pilote ou du dispositif controleur 
un ou plusieurs defis d tel que 0 < d < vx - 1 et comporte des deuxiemes 
moyens de calcul pour calculer a partir dudit defi d une ou plusieurs 
reponses D en effectuant des operations du type : 

D; = Tj . QAj ^ . QBi ^ . ... mod pj 
ou Fj est un entier, associe au nombre premier pj, tel que 0 < Fj < pj , chaque 
Fj appartenant a une collection d'aleas {Fj, Fj, F3, ...}, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements R que de collections d'aleas {Fj, Fj, F3, ... }, 
de sorte que le nombre d' operations arithmetiques modulo Pj a effectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacune des reponses 
Dj pour chacun des Pj est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n, 

ledit dispositif controleur, recevant une ou plusieurs reponses D, comporte 
des troisiemes moyens de calcul pour calculer a partir desdites reponses D 
des engagements R' en effectuant des operations du type : 

R'=GA^.GB'®....D^ modn 

ou du type : 

R\ GA GB ^. ... = D^ mod n 

ledit dispositif controleur comporte des quatriemes moyens de calcul pour 
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verifier que les triplets {R% d, D} sont coherents. 

12. Systeme poxir diminuer la charge de travail pendant une session 
destinee a prouver a un controleur, 

- Tauthenticite d'une entite et/ou 

- Torigine et I'integrite d'un message m, 
ledit precede met en oeuvre trois entites : 

- une premiere entite appelee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur, 

ledit dispositif temoin dispose d* une premiere zone memoire contenant des 
facteurs premiers pj, (ft , ..•) (i etant superieur ou egal k 2) d'un 
module public n tel que n = Pj.pj* P3. . , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant 

* des composantes QA„ QA^, ... (QA; , ...), et QBj, QB^, ... (QB; , 
. . .)» . • . » representant des cles privees QA, QB, . . , 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA^, GAj, ... (GAj, et GBi, GBj, ... (GB., ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.Q A'' mod n = 1 ou GA = QA"^ mod n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 

• en effectuant des operations du type : 

Rj ^ r-^ mod p. 

oil Fj est un entier, tire au hasard, associe au nombre premier Pj, tel que 0 < 
< Pi , chaque Fj appartenant a une collection d'aleas {rj, Fj, Tj, ...}, 

• puis en appliquant la methode des restes chinois. 
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le temoin tire au hasard une ou plusieurs collections d*aleas de telle sorte 
qu'il y a autant d' engagements R que de collections d'aleas {Fj, Tj, ... }, 
de sorte que le nombre d' operations arithmetiques modulo pj a effectuer 
par lesdits premiers moyens de calcul pour calculer chacun des Rj pour 
chacun des pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- une deuxieme entite, appelee dispositif pilote dudit dispositif 
temoin, pouvant etre egalement contenue notamment dans ledit objet 
nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrateiu" dans le cas de la preuve de Tauthenticite 
d'une entite ou de Tauthenticite d'un message, 

* dispositif de signature dans les cas de la preuve de I'origine et de 
rintegrite d'un message, 

- une troisieme entite, appelee dispositif controleur, se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique, 

ledit dispositif controleur comporte des moyens . de connexion pour le 
connecter electriquement, elecUromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

ledit dispositif controleur verifie Tauthentification ou Torigine et I'integrite 
d'un message, 

ledit dispositif temoin refoit du dispositif pilote ou du dispositif controleur, 
des collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d' engagements R, chaque 
collection {dA, dB, .•.} comprenant un nombre de defis Sgal au nombre de 
paires de cles, 

ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, des 
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r6ponses D 

• en effectuant des operations du type : 

Dj = Fj. QA, . QB, mod Pi 

• puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D que d'engagements R et de 
defis d, 

de sorte que le nombre d' operations arithmetiques modulo p; a effectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacun des D, pour 
chacun des p, est reduit par rapport ace qu'il serait si les operations 6taient 
effectu6es modulo n, 

ledit dispositif controleur, recevant une ou plusieurs reponses D, comporte 
des troisi^mes moyens de calcul pour calculer k partir desdites reponses D 
un engagement R' en effectuant des operations du type : 

R'= GA -** . GB mod n 

ou du type : 

R '. G A . GB = D'^ mod n 

ledit dispositif contrdleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% d, D} sont coherents. 

13. Sy Sterne selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee a prouver k un controleur 
Tauthenticite d'une entite ; 
ledit procede met en oeuvre trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenue 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p,, pj, ... (p, , ...) (i etant superieur ou egal k 2) d'un 
module public n tel que n = Pj-Pj. Pa , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoiie 
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contenant : 

* des composantes QA^, QAj, ... (QA, ,...), et QBj, QBj, ... (QB, , 

representant des cles privees QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GAi, GA2, ... (GAj, ...) et GBj, GBj, ... (GBj, ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant li6es par des relations du 
type : 

GA.QA'' mod n = 1 ou GA s QA'^ mod n 

2 - une deuxierrie entite appelee dispositif d6monstrateur dudit 
dispositif temoin, pouvant etre egalement contenue notamment dans ledit 
objet nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connect^ k un 
r^seau de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver I'authenticite d'une entite, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {Ti, Fj, Tj, ..•},telle que pour chaque facteur premier p,, chaque 
collection comporte un alea positif et plus petit que Pj , 

- le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea Tj a la puissance v ieme modulo p- , pour chaque facteur 
premier Pi, 
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Rj^Fi'^modpi 

de sorte que le nombre d'operations arithmetiques modulo p. a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des R- pour 
chacun des pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2* defi d destine au dispositif temoin : 

- le dispositif demonstrateur comporte des moyens de transmission pour 
transmettre tout ou partie de chaque engagement R au dispositif 
contrSlem:, 

- le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, aprfes avoir regu tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que Q < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d'engagements R, chaque 
collection {dA, dB, ..•} comprenant un nombre de defis egal au nombre de 
paires de cles, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D ,a partir desdites collections de defis d {dA, dB, ..•} 
re9ues du dispositif controleur, 

en effectuant des operations du type : 

D. = rj . QAj . QBj ^ . . . . mod p. 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo r a effectuer 
par les quatriemes moyens de calcul pour calculer chacun des Dj pour 
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chacun des Pj est r6duit par rapport k ce qu*il serait si les operations 6taient 
effectu6es modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif contrdleur : 
- le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif controleur chaque reponse D, 

•^etape 5. verification par le dispositif controleur : 
ledit dispositif controleur comporte des cinquiemes moyens de calcul pour 
calculer k partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'=GA^.GB^....D^ modn 

ou du type : 

R'.GA^.GB'»».... = D^modn 

ledit dispositif contrdleur comporte des sixiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R* reproduit tout 
ou partie de chaque engagement R transmis a Tetape 2 par le dispositif 
demonstrateur. 

14. Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee a prouver k un contr61eur 
Tauthenticite d*un message m, 
ledit procede met en oeuvre trois entites : 

1 - une premiere entite appelee dispositif temoin, contenue 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers pj, p^, ... (pj , ••.) (i etant superieur ou egal a 2) d'un 
module public n tel que n = Pi.p2. P3 

ledit dispositif temoin dispose aussi d'une deuxi&me zone m6moire 
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contenant 

* des composantes QA„ QA2, ... (QA, , ...), et QBi, QBj, ... (QBj , 
...),..., representant des cl6s priv6es QA, QB, . . . 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GAj, ... (GA,, ...) et GB^, GBj, ... (GBj, ...) 

* un exposant public de v&ification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA^ mod n = 1 ou GA s QA^ mod n 

2 - une deuxieme entite, appelee demonstrateur dudit dispositif 
t6moin, pouvant etre egalement contenue notamment dans ledit objet 
nomade, 

3 - une troisieme entite appelee dispositif contrdleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte k un 
reseau de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver Tauthenticite d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

- ledit dispositif temoin comporte des premiers moyens de calcul pour tirer 
au hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r^, Tj, ...},telle que pour chaque facteur premier ft, chaque 
collection comporte un alea rjpositif et plus petit que pj 

- ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
elever chaque alea tj a la puissance v ieme modulo p^ , pour chaque facteur 
premier pj. 
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Rj = r^^ mod 

de sorte que le nombre d'operations arithmetiques modulo Pj a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des pour 
chacun des Pi est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. deli d destine au dispositif temoin : 

- le dispositif demonstrateur comporte des premiers moyens de calcul pour 
calculer, en appliquant une fonction de hachage fay ant comme arguments 
le message m et chaque engagement R pour un jeton T, 

- ledit dispositif demonstrateur comporte des moyens de transmission pour 
transmettre le jeton T au dispositif controleur 

- ledit dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir rcgu le jeton T, au moins une collection de defis d {dA, 
dB, ...} tels que 0 < dA < v - 1, le nombre des collections de defis d etant 
egal au nombre d'engagements R, chaque collection {dA, dB, ...} 
comprenant un nombre de defis egal au nombre de paires de cles, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collection de defis d {dA, dB, ...} 
regues du dispositif controleur 

en effectuant des operations du type : 

Dj = Tj . QAi . QBi . ... mod ft 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p. a effectuer 
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par les quatri&mes moyens de calcul pour calculer chacun des D, pour 
chacun des p, est reduit par rapport k ce qu'il serait si les operations etaient 
effectu&s modulo n, 

de telle sorte qu'il y a autant de r6ponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif contrdleur : 

- le d6monstrateur comporte des moyens de transmission pour transmettre 
au dispositif contrdleur chaque reponse D, 

• etape 5. verification par le dispositif contrdleur ; 

ledit dispositif contrdleur comporte des cinquiemes moyens de calcul pour 
calculer a partirde chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'=GA«^.GB'"....D'^ modn 

ou du type : 

R G A . GB «".... = D'^ mod n 

ledit dispositif contrdleur comporte des sixiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R', le jeton T', 

ledit dispositif contrdleur comporte des septiemes moyens de calcul pour 
comparer et verifier que le jeton T' est identique au jeton T transmis a 
I'etape 2 par le dispositif demonstrateur. 

15. Syst^me selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee k prouver k un contrdleur la signature 
numerique d'un message m, 
ledit procede met en oeuvre trois entit6s : 

1 - une premiere entite, appelee dispositif temoin, contenues 
notamment dans un objet nomade se presentant par exemple sous la foime 
d'une carte bancaire k microprocesseur, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
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facteurs premiers Pi, pj, ... (P| , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = Pi.pj. P3. , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant : 

* des composantes QAj, QAj, ... (QAj , ...), et QBj, QBj, ... (QBj , 
. . .)> • . • » representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GAj, ... (GAj, ...) etGBj, GBj, ... (GB;, ...) 

* un exposant publique de verification v 

lesdites paires de cles privees et publiques etant lies par des relations du 
type : 

GA.QA"^ mod n s 1 ou GA = QA'^mod n 

2 - une deuxieme entite appelee dispositif de signature, pouvant etre 
egalement contenue notanunent dans ledit objet nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
sous la forme d'un temiinal et/ou d'un serveur distant connecte a un 
reseau de communication infomiatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver la signature d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les Stapes 
suivantes : 

• etape 1. engagement R du temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a Chaque appel, au moins une collection de nombres 
entiers {Tj, Tj, Tj, ...l.teUe que pour chaque facteur premier r, chaque 
collection comporte un alea rjpositif et plus petit que p; , 

- le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
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chaque al6a r, k la puissance v ieme modulo p,, pour chaque facteur premier 

Rj = Fi" mod p, 

de sorte que le nombre d'op6rations arithm^tiques modulo pj k effectuer 
par les deuxi^mes moyens de calcul pour calculer chacun des R, pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations 6taient 
effectu6es modulo n, 

- puis, lesdits deuxieraes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la m^thode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. defi d destine au dispositif temoin : 

- ledit dispositif de signature comporte des troisiemes moyens de calcul 

pour calculer, en appliquant une fonction de hachage f ayant comme 

arguments le message m et chaque engagement R, au moins une collection 

de d6fis d {dA, dB, ...} tels que 0 ^ dA < v - 1, le nombre des collections de 

defis d etant egal au nombre d'engagements R, chaque collection {dA, dB, 

...} comprenant un nombre de defis egal au nombre de paires de cles, 

- le dispositif de signature transmet les collections de defis d au 
temoin, 

• etape 3. r^ponse du dispositif temoin au deiB d : 

- ledit dispositif temoin comporte des quatrifemes moyens de calcul pour 
calculer des r6ponses D, k partir desdites collections de d6fis d {dA, dB, ...} 
re9ues du dispositif controleur, 

en effectuant des operations du type : 

Ds s r, . QA, . QB, mod Pi 

puis en appliquant la m6thode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo ft k effectuer 
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par les quatriemes moyens de calcul pour calculer chacun des Dj pour 
chacun des Pj est reduit par rapport k ce qu'il serait si les operations 6taient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

- ledit dispositif temoin comporte des moyens de transmission pour 
transmettre les reponses D au dispositif de signature et/ou au dispositif 
contrdleur, 

• etape 4. donnees destinees au dispositif controleur : 

- le dispositif de signature transmet au dispositif controleur un message 
signe compren£uit : 

/ le message m, 

/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le dispositif controleur : 
cas ou le dispositif controleur revolt la collection des defis d, 

dans le cas ou le dispositif controleur refoit les collections des defis d et 
des reponses D, ledit dispositif controleur comporte des cinquiemes 
moyens de calcul pour calculer a partir de chaque reponse D un 
engagement R' en effectuant des operations du type : 

R' = GA^.GB^....D^ modn 

ou du type : 

R' . GA GB ^ mod n 

ledit dispositif contrfileur comporte des sixiemes moyens de calcul pour 
calculer chaque defi d\ en appliquant la fonction de hachage f ayant 
comme arguments le message m et chaque engagement rfeconstruit R\ 
ledit dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque defi d' est identique au defi d figurant dans 
le message signe. 
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cas oil le dispositif contrdleur re9oit la coUection des engagements R 

dans le cas oii le dispositif contrSleur re9oit la collection des engagements 
R et des reponses D, ledit dispositif contr61eur comporte des cinqui^mes 
moyens de calcul pour calculer chaque defi d\ en appliquant la fonction de 
hachage f ayant comme arguments le message m et chaque engagement R, 
ledit dispositif controleur comporte des sixifemes moyens de calcul pour 
calculer alors la collection des engagements R' en effectuant des 
operations du type 

R'= GA GB ...D'^ mod n 

ou du type : 

R' . GA •'•'^ . GB "'».... = mod n 

ledit dispositif contrdleur comporte des septi^mes moyens de calcul pour 
comparer et verifier que chaque engagement R' reconstruit est identique a 
I'engagement R figurant dans le message sign^. 

16. Systeme selon I'une quelconque des revendications 11 ^ 15 tel 
que les composantes QA„ QA^, ... (QA, , ...). et QB^, QB^, ... (QB, , ...), 
... des cles privees QA, QB, ... sont des nombres tir^s au hasard a raison 
d'une composante QA,, QB,, ... pour chacun desdits facteurs premiers r, 
lesdites cles privees QA, QB, pouvant etre calculees a partir desdites 

composantes QA„ QA„ ... (QA„ ...). et QB„ QB„ ... (QB ), ... par la 

methode des restes chinois, 

ledit dispositif temoin comportant des huitiemes moyens de calcul pour 
calculer lesdites cl6s publiques GA, GB, .... 

• en effectuant des operations du type : 

GAj = QA* mod p. 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GAsQA'modn 

ou bien tel que 

GA.QA'^modnsl 
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de sorte que le nombre d 'operations arithmetiques modulo pj a effectuer 
par les huitiemes moyens de calcul dudit dispositif temoin pour calculer 
chacun des GA, pour chacun des P| est r^duit par rapport a ce qu*il serait si 
les operations etaient effectuees modulo n, 

17. Systeme selon la revendication 16 tel que Texposant public de 
verification v est un nombre premier, 

de sorte que la paire de cles GA, Q A confere une securite equivalente k la 
connaissance de la cle privee QA. 

18. Systeme selon Tune quelconque des revendications 11 k 15 tel 
que Texposant public de verification v est du type 

v = a*" 

ou k est un parametre de securite. 

19. Systeme selon la revendication 18 tel que : 

- Texposant public de verification v est du type 

v = 2*^ 

ou k est un parametre de securite, 

- la cle publique GA est un carre gA^ inferieur a n choisi de telle 
sorte que T equation 

s gA mod n 

n'a pas de racine en x dans I'anneau des en tiers modulo n 

- ledit dispositif temoin comportant des neuviemes moyens de calcul 
pour calculer les dites composantes QAj, QAj, (QAj , ...) de la cle 
priv6e QA en appliquant des formules telles que : 

GA= Q A; mod Pi 

ou bien telles que : 

GA .QAi ^-'"^^^ mod p^^ 1 
et en extrayant la kieme racine carree de GA dans le corps de Galois 
CG(Pi) 

de sorte que le nombre d' operations arithmetiques modulo Pj a effectuer 
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par les neuvi^mes moyens de calcul du dispositif temoin pour calculer 
chacun des QAj pour chacun des P; est reduit par rapport k ce qu'il serait si 
les operations 6taient effectuees modulo n, 

de sorte que la paire de cles GA, QA conf6re une securite equivalente k la 
connaissance de la factorisation de n. 

20. Systeme selon la revendication 19 tel que pour extraire la kieme 
racine carr6e de GA dans le corps de Galois CG(pj), 

* dans le cas oii le facteur premier p, est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appUquent notamment un 
algorithme du type : 

X = (p+l)/4 ; y = x'' mod (p-1) ; z = y ; QA; s GA^ mod p^ 

* dans le cas oii le facteur premier pj est congru k 1 modulo 4, les 
neuviemes moyens de calcul du dispositif t6moin appliquent notamment un 
algorithme base sur les suites de Lucas. 

21. Objet nomade, se presentant par exemple sous la forme d'une 
carte bancaire a microprocesseur, pour diminuer la charge de travail 
pendant une session destinee k prouver k un serveur contrdleur, 

- r authenticity d'une entite et/ou 

- I'origine et Tintegrit^ d'un message m, 
ledit objet nomade faisant intervenir trois entites : 

- une premiere entite, appelee dispositif t6moin, contenue dans ledit 
objet nomade, 

ledit dispositif t6moin dispose d'une premiere zone m^moire contenant des 

facteurs premiers p„ p^, ... (p ) (i 6tant superieur ou egal k 2) d'un 

module public n tel que n = Pi-Pj. Pa , 

ledit dispositif t6moift dispose aussi d'une deuxi^me zone memoire 
contenant : 

* des composantes QA„ QA^, ... (QA, , ...). et QB^, QB^, ... (QB, , 
...).--., representant des cles privees QA, QB, . . . 
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* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GAj, ... (GA^, ...) et GBi, GB^, ... (GB^, ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cl6s privtes et cl6s publiques 6tant li6es par des relations du type : 

GA-QA^ mod n s 1 ou GA ^ QA^ mod n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R, = mod pj 
oh Tj est un alea tel que 0 < r| < pj , 

de sorte que le nombre d' operations arithmetiques modulo ft a effectuer 
par lesdits premiers moyens de calcul pour calculer chacun des Rj pour 
chacun des p, est r^duit par rapport k ce qu'il serait si les operations etaient 
effectudes modulo n, 

- une deuxifeme entity, appel6e dispositif pilote dudit dispositif 
temoin, pouvant etre 6galement contenue dans ledit objet nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrateur dans le cas de la preuve de Tauthenticite 
d'une entite ou de Tauthenticite d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
rintegrite d'un message, 

- une troisieme entite appelee dispositif controleur se presentant 
notanmnent sous la forme d'un temiinal et/ou d'un serveur distant connecte 
a un r6seau de conununication informatique, 

ledit dispositif contr61eur verifie Tauthentification ou I'origine et I'integrite 
d'un message, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, ^lectromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif t6moin et/ou ledit dispositif pilote audit dispositif 
contrdleur. 
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ledit dispositif temoin regoit du dispositif pilote ou du dispositif controleur 
un ou plusieurs defis d tel que 0 < d < vx - 1 et comporte des deuxiemes 
moyens de calcul pour calculer a partir dudit defi d une ou plusieurs 
reponses D en effectuant des operations du type : 

Dj = . QAi ^ • QB, *® . mod r 
ou Fi est un entier, associe au nombre premier Pj, tel que 0 < Fj < pj , chaque 
Fi appartenant a une collection d'aleas {Fj, Fj, F3, ...}, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements R que de collections d'aleas {Fj, F2, F3, ... }, 
de sorte que le nombre d' operations arithmetiques modulo p. a effectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacune des reponses 
Dj pour chacun des pj est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n, 

ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou les dites reponses D. 

22. Objet nomade se presentant par exemple sous la forme d*une 
carte bancaire a microprocesseur, pour diminuer la charge de travail 
pendant une session destinee a prouver a un controleur, 

- Tauthenticite d'une entite et/ou 

- I'origine et Tintegrite d'un message m, 
ledit objet nomade faisant intervenir trois entites: 

- une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p^, pj, .•. (pj , ...) (i etant superieur^u egal a 2) d'un 
module public n tel que n = Pj.pj. P3. ... , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant 
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* des composantes QA^, QAj, ... (QA| ,...), et QBj, QBj, ... (QBj , 
repr^sentant des cles privees QA, QB, . . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GAj, ... (GAj, ..•) et GBj, GBj, ... (GBj, ..•) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.Q A^ mod n = 1 ou GA = QA^ mod n 

ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 

• en effectuant des operations du type : 

Rj = Fj'' mod Pi 

ou Fj est un entier, tire au hasard, associe au nombre premier pj, tel que 0 < Fj 
< Pi , chaque Fj appartenant a une collection d'aleas {Fj, Fj, •..}, 

• puis en appliquant la methode des restes chinois, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d'engagements R que de collections d'aleas {Fj, Fj, F3, ... }, 
de sorte que le nombre d' operations arithmetiques modulo Pj a effectuer 
par lesdits premiers moyens de calcul pour calculer chacun des R^ pour 
chacun des pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- une deuxieme entite, appelee dispositif pilote dudit dispositif 
temoin, pouvant etre egalement contenue dans ledit objet nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrateur dans ie cas de la preuve de I'authenticite 
d'une entite ou de I'authenticite d'un message, 

* dispositif de signature dans le cas de la preuve de I'origine et de 
I'integrite d'un message, 

- une troisieme entite, appelee dispositif contr6Ieur, se presentant 
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notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
k un reseau de conrniunication informatique, 

ledit dispositif controleur verifie Tauthentification ou Torigine et I'integrite 
d'un message, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleur, 

ledit dispositif temoin re9oit du dispositif pilote ou du dispositif controleur, 
des collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d' engagements R, chaque 
collection {dA, dB, .••} comprenant un nombre de defis egal au nombre de 
paires de cles, 

ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, ...} des 
reponses D 

• en effectuant des operations du type : 

Dj = ri. QAi . QBi*^ . ... mod ft 

• puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D que d' engagements R et de 
defis d, 

de sorte que le nombre d' operations arithmetiques modulo a effeetuer 
par lesdits deuxiemes moyens de calcul pour calculer chacun des Dj pour 
chacun des pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou lesdites reponses D. 

23. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver a un dispositif controleur 
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Tauthenticite d'une entite ; 

ledit objet nomade faisant intervenir trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p^, P2, ... (Pi 5 .-.) (i etant superieur ou egal a 2) d'un 
module public n tel que n = Pi.p2. P3. , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant : 

* des composantes QAj, QAj, ... (QAj ,...)» et QB^, QB^, (QBj , 
•..),.-•» representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GA^, ... (GAj, et GBj, GBj, ... (GBj, ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

G A.Q A^ mod n ^ 1 ou GA = Q A' mod n 

2 - une deuxieme entite, appelee dispositif demonstrateur dudit 
dispositif temoin, pouvant etre egalement contenue dans ledit objet 
nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
notamment sous la forme d*un terminal et/ou d'un serveur distant connecte 
a un reseau de communication infomiatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif controleur, 

pour prouver I'authenticite d'une entite, ledit objet nomade execute les 
etapes suivantes : 
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• etape 1. engagement R du dispositif t^moin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard at en prive, a chaque appel, au moins une collection de nombres 
entiers {Fi, Tj, r,, ...},telle que pour chaque facteur premier p^, chaque 
collection comporte un al6a rjposittf et plus petit que p, , 

- le dispositif t6moin comporte des deuxifemes moyens de calcul pour elever 
chaque alea r, a la puissance v i^me modulo p; , pour chaque facteur 
premier pj , 

Rj = mod p, 

de sorte que le nombre d'op6rations aiitimi^tiques modulo p, a effectuer 
par les deuxifemes moyens de calcul pour calculer chacun des R, pour 
chacun des p, est reduit par rapport k ce qu'il serait si les operations 6taient 
effectu^es modulo n, • 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
6tabUssent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 

• etape 2. transmission des engagements R et reception des defis d 
destines au dispositif temoin : 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
au dispositif controleur tout ou partie de chaque engagement R, 

- ledit objet nomade comporte des moyens de r6ception pour recevoir des 
collections de d6fis d {dA, dB, ...} produits par ledit dispositif controleur, 

• etape 3. reponse du dispositif temoin aux defis d : 

- ledit dispositif t6moin comporte des troisifemes moyens de calcul pour 
calculer des reponses D , k partir desdites collections de defis d {dA, dB, 
...} refues du dispositif contrSleur, 

en effectuant des op6rations du type : 
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Dj = Fi . Q A, ^ . QBj mod Pi 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo pj a effectuer 
par les troisiemes moyens de calcul pour calculer chacun des Dj pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d'engagements R at de defis d, 

• etape 4, donnees destinees au dispositif contrdleur : 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
au dispositif controleur chaque reponse D, 

• etape 5. verification par le dispositif controleur : 

ledit dispositif controleur verifie la coherence des triplets {R, d, D} et 
Tauthenticite de Tentite contrSlee, 

24. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver a un controleur 
I'authenticite d'un message m, 
ledit objet nomade faisant intervenir trois entites : . 

1 - une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade^ 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p^, pj, (pj , ...) (i etant superieur ou egal k 2) d'un 
module public n tel que n = p^-Pj. P3 , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant 

* des composantes QA^, QA^, ... (QAj , ...), et QBi, QB^, ... (QB^ , 
. . . - , representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA^, GAj, ... (GA;, ...) et GB^, GB^, ... (GBj, ...) 
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* un exposant public de verification v 
lesdites paires de cl6s priv6es et publiques etant liees par des relations du 
type : 

GA-QA' mod n s 1 ou GA = QA'mod n 

2 - une deuxi^me entite, appelee demonstrateur dudit dispositif 
t6moin, pouvant etre egalement contenue dans ledit objet nomade, 

3 - une troisieme entite appel6e dispositif contrdleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte a un 
reseau de conununication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
61ectriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif controleur, 

pour prouver I'authenticite d'un message ledit objet nomade execute les 
etapes suivantes : 

• 6tape 1. engagement R du dispositif temoin : 

- ledit dispositif temoin comporte des premiers moyens de calcul pour tirer 
au hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {rj, Tj, T3, ...},telle que, pour chaque facteur premier p„ chaque 
collection comporte un alea Tipositif et plus petit que pj , 

- ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
elever chaque alea r, a la puissance v i^me modulo p; , pour chaque facteur 
premier Pi, 

Ri = ri'modpi 

(de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des R, pour 
chacun des p, est reduit par rapport k ce qu'il serait si les operations etaient 
effectu6es modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
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6tablissent chaque engagement R modulo n selon la m6thode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'al6as 

• etape 2. reception des defis d destines au dispositif temoin: 

- le dispositif demonstrateur comporte des premiers moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour un jeton T, 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif contrdleur le jeton T, 

- ledit objet nomade comporte des moyens de reception pour recevoir des 
collections de defis d {dA, dB, ...} produits par ledit dispositif controleur 
au moyen du jeton T, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des troisi^mes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de d6fis d {dA, dB, ...} 
regues du dispositif controleur 

en effectuant des operations du type : 

Dj = r, . QAi . QBj . . . . mod p, 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithm6tiques modulo pj a effectuer 
par les quatriemes moyens de calcul pour calculer chacun des Dj pour 
chacun des p, est r6duit par rapport k ce qu'il serait si les operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le t6moin que 
d'engagements R et de defis d, 

• etape 4. donnees destinees au dispositif controleur : 

- I'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif contrdleur chaque reponse D 
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* etape 5. verification par le dispositif contrdleur : 

ledit dispositif controleur verifie la coherence des triplets {R, d, D) et 
Tauthenticite du message m. 

25. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver a un controleur la 
signature numerique d'un message m, 
ledit objet nomade faisant intervenir trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers Pj, pj, ... (pj , ...) (i etant superieur ou egal a 2) d'un 
module public n tel que n = Pj.Pi. P3 , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant : 

* des composantes QAj, QA^, ... (QAj , et QB^, QB^, ... (QB. , 
...),..,, representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA^, GAj, ... (GAj, ...) et GBj, GB^, ... (GBj, ...) 

* un exposant public de verification v 
lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA^ mod n = 1 ou GA = QA^mod n 

2 - une deuxieme entite appelee dispositif de signature, pouvant etre 
egalement contenue dans ledit objet nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
sous la forme d'un terininal et/ou d'un serveur distant connecte a un 
reseau de conamunication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
61ectriquement, electromagnetiquement, optiquement ou de maniere 
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acoustique ledit dispositif temoin et ledit dispositif de signature audit 
dispositif controleur, 

pour prouver la signature d'un message ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en priv6, k chaque appel, au moins une collection de nombres 
entiers {rj, Tj, r^y ...},telle que pour chaque facteur premier chaque 
collection comporte un al6a Tipositif et plus petit que p, , 

- le dispositif temoin comporte des deuxidmes moyens de calcul pour elever 
chaque alea h. la puissance v ieme modulo pj , pour chaque facteur 
premier p^ , 

Rj = ri"" mod p, 

de sorte que le nombre d'op6rations arithm^tiques modulo p., a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des Rj pour 
chacun des pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. defi d destin^ au dispositif temoin : 

- ledit dispositif de signature comporte des troisiemes moyens de calcul 
pour calculer, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R, au moins une collection 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections de 
defis d etant egal au nombre d* engagements R, chaque collection {dA, dB, 
...} comprenant un nombre de d6fis egal au nombre de paires de cles. 
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- le dispositif de signature transmet les coUections de defis d au temoin, 

• etape 3. reponse du dispositif temoin au d^fi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, k partir desdites collections de d6fis d {dA, dB, ...} 
regues du dispositif controleur, 

en effectuant des operations du type : 

D, = r, . QA, . QB, mod Pi 

puis en appliquant la methode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo p. k effectuer 
par les quatriemes moyens de calcul pour calculer chacun des Dj pour 
chacun des p, est reduit par rapport k ce qu'il serait si les operations 6taient 
effectu6es modulo n, 

de telle sorte qu'il y a autant de reponses D calcuI6es par le temoin que 
d'engagements R et de d6fis d, 

- I'objet nomade comporte des moyens de transmission pour transmettre les 
reponses D au dispositif de signature et/ou au dispositif controleur, 

• etape 4. donnees destinees au dispositif controleur : 

- I'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur un message sign6 comprenant : 

/le message m, 

/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le dispositif controleur : 

ledit dispositif controleur verifie la coherence des triplets {R, d, D} et la 
signature num6rique du message m. 

26. Objet nomade selon I'une quelconque des reVendications 21 k 
25 tel que les composantes QA„ QA^, ... (QA„ ...), et QB„ QB^, ... (QB, , 
...),... des cles privees QA, QB, ... sont des nombres tir6s au hasard a 
raison d'une composante QA, , QB, , ... pour chacun desdits facteurs 
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premiers r, lesdites cl6s privees QA, QB, pouvant etre calcul6es k partir 
desdites composantes QA^, QA^, ... (QA, , ...), et QB^, QB^, ... (QB, , ...), 
par la mdthode des restes chinois, 

ledit dispositif temoin comportant des huitiemes moyens de calcul pour 
calculer lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GAj = QA,^ mod p, 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA^modn 

ou bien tel que 

GA.QA^ mod n = 1 

de sorte que le nombre d' operations arithmetiques modulo a effectuer 
par les huitiemes moyens de calcul dudit dispositif temoin pour calculer 
chacun des GA, pour chacun des p, est reduit par rapport a ce qu'il serait si 
les operations etaient effectuees modulo n, 

27. Objet nomade selon la revendication 26 tel que Texposant 
public de verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

28. Objet nomade selon Tune quelconque des revendications 21 a 
25 tel que I'exposant public de verification v est du type 

V = a*^ 

ou k est un parametre de s6curite. 

29. Objet nomade selon la revendication 28 tel que : 

- Texposant public de verification v est du type 

v = 2'^ 

ou k est un parametre de securite, 

- la cle publique GA est un carre gA^ inferieur a n choisi de telle 
sorte que 1' equation 
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s gA mod n 

n'a pas de racine en x dans Tanneau des entiers modulo n 

- leditdispositif t6moin comportant des neuviemes moyens de calcul 
pour calculer lesdites composantes QA„ QA,, ... (QA^ , ...) de la cle 
priv6e QA en appliquant des formules telles que : 

GA= QA, mod Pi 

ou bien telles que : 

GA.QA,*^)modppl 

et en extrayant la ki^me racine carr6e de GA dans le corps de Galois 
CG(Pi), 

de sorte que le nombre d'operations arithm^tiques modulo p, k effectuer 
par les neuviemes moyens de calcul du dispositif t^moin pour calculer 
chacun des QA, pour chacun des p, est r€duit par rapport k ce qu'il serait si 
les operations etaient effectuees modulo n, 

de sorte que la paire de cles GA, QA confere une s6curit6 equivalente k la 
connaissance de la factorisation de n. 

30. Objet nomade selon la revendication 29 tel que pour extraire la 
ki^me racine carree de GA dans le corps de Galois CG(Pi), 

* dans le cas ou le facteur premier p. est congru k 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

X = (p+l)/4 ; y = x'' mod (p-1) ; z = y ; QA, = GA^ mod Pi 

* dans le cas ou le facteur premier p, est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

31. Dispositif de controle permettant de diminuer la charge de travail 
pendant une session destinee a verifier : 

- r authenticity d'une entit6 et/ou 

- I'origine et I'integrite d'un message m, 
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ledit dispositif de controle se presentant sous la forme d'un terminal ou 
d'un serveur distant connecte k un reseau de communication informatique, 
ledit dispositif de controle mettant en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets pj, p^, ... (pj , ...) (i etant superieur ou egal a 2) 

nsp1.p2.p3. ... , 

- des cles publiques GA, GB, . . . 

- des exposants publics de verification vx, vy, ... 

lesdites cles privees GA et les cles publiques associees QA etant liees par 
des relations du type : 

GA.QA^ mod n = 1 ou GA s QA"^ mod n 
ledit dispositif de controle faisant intervenir trois entites : 

- une premiere entite, appelee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire k microprocesseur, ledit dispositif temoin produisant des 
engagements R, 

- une deuxieme entite appelee dispositif pilote dudit dispositif 
temoin pouvant etre contenue notamment dans ledit objet nomade, 

- une troisieme entite, appelee dispositif controleur, contenue dans 
ledit dispositif de controle, 

ledit dispositif de controle comporte : 

- des moyens de connexion pour connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif controleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant 
dudit dispositif temoin et/ou dudit dispositif pilote. 
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ledit dispositif contrdleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis 
dtelqueO^d^ vx-1, 

- des deuxi^mes moyens de calcul pour calculer, en fonction des 
reponses D regues dudit dispositif t6moin et/ou dudit dispositif pilote, des 
engagements R' ^ en effectuant des operations du type : 

R',= GA*'.D'» modn 

ou du type : 

R's-GA^sD'-inodn 

- des troisifemes moyens de calcul pour verifier que les triplets {R*, d, 
D} sont cohdrents 

32. Dispositif de controle permettant de diminuer la charge de travail 
pendant une session destin^e k verifier, 

- rauthenticit6 d'une entite et/ou 

- I'origine et rint6grit6 d'un message m, 

ledit dispositif de controle se pr6sentant sous la forme d'un terminal ou 
d'un serveur distant connect^ k un reseau de communication informatique, 
ledit dispositif de contrdle mettant en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets p„ pj, ... (p; , ...) (i etant sup6rieur ou 6gal k 2) 

n = Pi-I>2- Pa 

- des cl6s publiques GA, GB, ... 

- un exposant public de verification v 

lesdites cl6s priv6es GA et les cles pubUques associ6es QA 6tant Uees par 
des relations du type : 

GA.QA'' mod n = 1 ou GA s QA'' mod n 
ledit dispositif de contrdle faisant intervenir trois entites : 

- une premiere entit6, appelee dispositif t6moin, contenue notamment 
dans un objet nomade se pr6sentant par exemple sous la foime d'une carte 
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bancaire h microprocesseur, ledit dispositif temoin produisant des 
engagements R, 

- une deuxieme entite, appelee dispositif pilote dudit dispositif 
temoin, pouvant etre contenue notanmient dans ledit objet nomade, 

- une troisieme entite, appelee dispositif controleur, contenue dans 
ledit dispositif de controle, 

ledit dispositif de controle comporte : 

- des moyens de connexion pour connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif contrSleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif controleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant 
dudit dispositif temoin et/ou dudit dispositif pilote, 

ledit dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis 
d {dA, dB, ...} tels que 0 < dA < V - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D refues du dudit dispositif temoin et/ou dudit dispositif pilote, 
des engagements R' ^ en effectuant des operations du type : 

R'sGA**^.GB^....D^ modn 

ou du type : 

R' . G A ^ . GB ^ . . . • = mod n 

- des troisiemes moyens de calcul pour verifier que les triplets {R', d, 
D} sont coherents. ^ 

33, Dispositif de contrSle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinee a verifier 
rauthenticite d'une entite ; 
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dans le cas d'une authentification d'entite, le dispositif pilote est appele 
dispositif demonstrateur, 

pour prouver Tauthenticite d'une entite ledit dispositif de controle execute 
les etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin produit au moins un engagement R a partir d'au moins 
une collection d'aleas {Fj, Fj, ...},telle que, pour chaque facteur premier 
Pi, chaque collection comporte un alea Tj entier positif et plus petit que p. , 
de telle sorte qu'il y a autant d'engagements R que de collections d'aleas , 

• etape 2. defls produits par le dispositif controleur et destines au 
dispositif temoin : 

- lesdits moyens de reception du dispositif de contrdle refoivent tout ou 
partie de chaque engagement R, transmis par le dispositif demonstrateur, et 
le transmet au dispositif contrSleur, 

- le dispositif controleur comporte des premiers moyens de calcul pour 
calculer, aprfes avoir rcqu tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d'engagements R, chaque 
collection {dA, dB, ..•} comprenant un nombre de defis egal au nombre de 
paires de cles, 

• etape 3, reponse du dispositif temoin aux defis d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D , a partir desdites collections de defis d {dA, dB, 
..•} regues du dispositif controleur, de telle sorte qu'il y a autant de 
reponses D que d'engagements R et de defis d, 

• etape 4, donnees destinees au dispositif controleur : 

- les moyens de reception du dispositif de controle refoivent du dispositif 
demonstrateur chaque reponse D, 

• etape 5. verification par le dispositif controleur : 
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ledit dispositif contrdleur comporte des deuxiemes moyens de calcul pour 
calculer & partir de chaque r^ponse D un engagement R' en effectuant des 
operations du type : 

R's GA . GB D' mod n 

pu du type : 

R' . GA GB ««..,. = D' mod n 

ledit dispositif controleur comporte des troisi^mes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis k I'gtape 2 par le dispositif 
d6monstrateur 

34. Dispositif de controle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinee a verifier 
r authenticity d'un message m, 

dans le cas d'une authentication d'un message m. le dispositif pilote est 
appele dispositif demonstrateur, 

pour prouver Tauthenticit^ d'un message m, ledit dispositif de contr61e 
execute les etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin produit au moins un engagement R k partir d'au moins 
une collection d'aleas {r,, r^, r,, ...},telle que, pour chaque facteur premier 
Pi, chaque collection comporte un alea r, entier positif et plus petit que p; , 
de telle sorte qu'il y a autant d'engagements R que de collections d'aleas , 

• 6tape 2. defis d produits par ledit dispositif contrdleur et 
destines au dispositif temoin : 

- lesdits moyens de reception du dispositif de controle regoivent au moins 
un jeton T calcule et transmis par le dispositif demonstrateur en appliquant 
une fonction de hachage f ayant conmie arguments le message m et chaque 
engagement R, 

- ledit dispositif controleur comporte des premiers moyens de calcul pour 
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calculer, apres avoir re9u le jeton T, au moins une collection de defis d {dA, 
dB, ...} tels que 0 < dA < V - 1, le nombre des collections de defis d etant 
egal au nombre d'engagements R, chaque collection {dA, dB, ...} 
comprenant un nombre de d6fis 6gal au nombre de paires de cl6s, 

• etape 3. reponse du dispositif t^moin au defi d : 

- ledit dispositif t6moin comporte des quatri^mes moyens de calcul pour 
calculer des r^ponses D, a partir desdites collections de d6fis d {dA, dB, ...} 
T&gues du dispositif contrSleur, de telle sorte qu'il y a autant de reponses D 
calcul6es par le temoin que d'engagements R et de defis d, 

• etape 4. donates destinees au dispositif contrdleur : 

- les moyens de reception du dispositif de console re9oivent du dispositif 
demoilstrateur chaque reponse D, 

• ^tape 5. verification par le dispositif contrdleur : 

ledit dispositif contrdleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R' = GA*^.GB"»....D'^ modn 

ou du type : 

R' . GA . GB •».... = mod n 

ledit dispositif controleur comporte des troisi^mes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R', le jeton T\ 

ledit dispositif controleur comporte des quatriemes moyens de calcul pour 
comparer et verifier que le jeton T» est identique au jeton T transmis k 
I'etape 2 par le dispositif d^monstrateur. 

35. Dispositif de conu-dle selon la revendication 32 peimettant de 
diminuer la charge de travail pendant une session destinee a verifier la 
signamre numdrique d'un message m, 

dans le cas d'une authentification d'un message m, le dispositif pilote est 
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appel6 dispositif de signature, 

pour prouver la signature num^rique du message m, ledit dispositif de 
contrdle execute les Stapes suivantes : 

• ^tape 1. engagement R du temoin : 

- le dispositif t6moin produit au moins un engagement R h partir d'au moins 
une collection d'al^as {r„ r^, Fj, ...},telle que pour chaque facteur premier 
p„ chaque collection comporte un al6a r, entier positif et plus petit que p. , 
de telle sorte qu'il y a autant d'engagements R que de collections d'aleas , 

• etape 2. defis d destines au dispositif temoin : 

- ledit dispositif de signature calcule, en appliquant une fonction de 
hachage f ayant comme arguments le message m et chaque engagement R, 
au moins une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le 
nombre des collections de defis d 6tant dgal au nombre d'engagements R, 
chaque collection {dA, dB, ...} comprenant un nombre de defis egal au 
nombre de paires de cles, 

- le dispositif de signature transmet les collections de d6fis d au 
temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif tdmoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, ^ partir desdites collections de d6fis d {dA, dB, 
...}, de telle sorte qu'il y a autant de r6ponses D calculees par le temoin que 
d'engagements R et de defis d, 

- ledit dispositif t6moin comporte des moyens de ti-ansmission pour 
transmetti-e les reponses D au dispositif de signatiire et/ou au dispositif 
contrdleur, 

• ^tape 4. donnees destinees au dispositif contrdleur : 

- les moyens de reception du dispositif de controle regoivent du dispositif 
de signature un message signe comprenant : 

/ le message m. 
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/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le dispositif contrdleur : 
cas oil le dispositif contrdleur regoit la collection des d^fis d, 

dans le cas ou le dispositif contrdleur regoit les collections des defis d et 
des r6ponses D, 

ledit dispositif contrdleur comporte 

* des premiers moyens de calcul pour calculer a partir de chaque 
reponse D un engagement R' en effectuant des operations du type : 

R' = GA'^.GB'»....D'^ modn 

ou du type : 

R'. GA GB •».... = D* mod n 

* des deuxiemes moyens de calcul pour calculer chaque d6fi d', en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement reconstruit R', 

* des troisi^mes moyens de calcul pour comparer et verifier que 
chaque defi d' est identique au defi d figurant dans le message signe, 

cas ou le dispositif contrdleur revolt la collection des engagements R 
dans le cas ou le dispositif contrdleur revolt la collection des engagements 
R et des r^ponses D, 
ledit dispositif contrdleur comporte 

* des premiers moyens de calcul pour calculer chaque defi d', en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement R, 

* des deuxiemes moyens de calcul pour calculer alors la collection 
des engagements R' en effechiant des operation du type^ 

R' = GA«'''^.GB*'»....D^ modn 

ou du type : 

R' . GA GB = D^ mod n 
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* des troisifemes moyens de calcul pour comparer et v6rifier que 
chaque engagement R' reconstruit est identique k I'engagement R figurant 
dans le message sign6. 

36. Dispositif de contrSle selon I'une quelconque des 
revendications 31 k 35 tel que les composantes QA,, QAj, ... (QAj , ...), et 
QB„ QBj, ... (QBj, ...), des cles priv6es QA, QB, ... sont des nombres tir6s 
au hasard k raison d'une composante QA; , QBj , ... pour chacun desdits 
facteurs premiers p„ lesdites cMs priv6es QA, QB, pouvant etre calcul6es k 
partir desdites composantes QA„ QA^, ... (QA,, ...), et QBj, QB^, ... (QB, 
,...),... par la m6thode des restes chinois, 

ledit dispositif t6moin comportant des moyens de calcul pour calculer 
lesdites cles publiques GA, GB, .... 

• en effectuant des operations du type : 

GAj = QA,'^ mod Pi 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA^QA'modn 

ou bien tel que 

GA.QA' mod n = 1 

de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 
par les huiti^mes moyens de calcul dudit dispositif temoin pour calculer 
chacun des GAj pour chacun des p., est reduit par rapport a ce qu'il serait si 
les operations etaient effectuees modulo n, 

37. Dispositif de contrdle selon la revendication 36 tel que 
I'exposant public de verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite equivalente k la 
connaissance de la cl6 privee QA. 

38. Dispositif de contrSle selon I'une quelconque des 
revendications 31 & 35 tel que I'exposant public de verification v est du 
type 
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V = a" 

ou k est un parametre de securite. 

39. Dispositif de contrdle selon la revendication 38 tel que : 

- I'exposant public de verification v est du type 

v = 2'' 

ou k est un parametre de securite, 

- la cl6 pubUque GA est un carre gA^ inferieur k n choisi de telle 
sorte que T^quation 

x^s gAmod n 

n'a pas de racine en x dans I'anneau des entiers modulo n 

- ledit dispositif t6moin comportant des neuvifemes moyens de calcul 
pour calculer les dites composantes QA„ QA^, ... (QA, , ...) de la cl6 
privee QA en appliquant des formules telles que : 

GA= QAj^'**>modpi 

ou bien telles que : 

GA.QA,^»P(Winodp,= l 

et en extrayant la kieme racine carr^e de GA dans le corps de Galois 
CG(Pi) 

de sorte que le nombre d'operations arithm^tiques modulo ft a effectuer 
par les neuviemes moyens de calcul du dispositif temoin pour calculer 
chacun des QAj pour chacun des Pj est reduit par rapport k ce qu'il serait si 
les operations etaient effectuees modulo n, 

de sorte que la paire de cl6s GA, QA confere une securit6 equivalente h la 
connaissance de la factorisation de n. 

40. Dispositif de contr61e selon la revendication 39 tel que pour 
extraire la kieme racine carree de GA dans le corps de Galois CG(pj), 

* dans le cas oil le facteur premier r est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 
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X = (p4-l)/4 ; y s x'' mod (p-1) ; z = y ; QA^ = GA^ mod p; 
* dans le cas oil le facteur premier p, est congru h 1 modulo 4, les 
neuvifemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme bas6 sur les suites de Lucas. 
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